Sobre o conteúdo de segurança do Safari 9

Este documento descreve o conteúdo de segurança do Safari 9.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras atualizações de segurança, consulte Atualizações de segurança da Apple.

Safari 9

  • Safari

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário

    Descrição: várias inconsistências na interface de usuário podem ter permitido a um site malicioso exibir um URL arbitrário. Esses problemas foram solucionados por meio de melhorias na lógica de exibição de URL.

    ID de CVE

    CVE-2015-5764: Antonio Sanso (@asanso), da Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

  • Downloads do Safari

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: o histórico de quarentena do LaunchServices pode revelar o histórico de navegação

    Descrição: o acesso ao histórico de quarentena do LaunchServices pode ter revelado o histórico de navegação com base nos downloads de arquivos. Esse problema foi solucionado por meio de melhorias no apagamento do histórico de quarentena.

  • Extensões do Safari

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: a comunicação local entre as extensões do Safari e os apps associados pode ter sido comprometida

    Descrição: a comunicação local entre as extensões do Safari, como gerenciadores de senha e seus apps associados nativos, pode ser comprometida por outro app nativo. Esse problema foi solucionado por meio de um novo canal de comunicações autenticado entre as extensões do Safari e os apps associados.

  • Extensões do Safari

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: as extensões do Safari podem ser substituídas no disco

    Descrição: uma extensão do Safari instalada pelo usuário e validada podia ser substituída no disco sem a autorização do usuário. Este problema foi resolvido por meio de melhorias na validação de extensões.

    ID de CVE

    CVE-2015-5780: Ben Toms, da macmule.com

  • Navegação segura no Safari

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: a navegação para um endereço IP de um site malicioso conhecido pode não ativar um alerta de segurança

    Descrição: o recurso de Navegação segura do Safari não alertou os usuários ao acessarem sites maliciosos conhecidos por seus endereços IP. O problema foi resolvido por meio de melhorias na detecção de sites maliciosos.

    Rahul M (@rahulmfg), da TagsDock

  • WebKit

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: imagens carregadas parcialmente podem extrair dados nas origens

    Descrição: havia uma condição de corrida na validação das origens de imagens. Esse problema foi solucionado por meio de melhorias na validação das origens de recursos.

    ID de CVE

    CVE-2015-5788: Apple

  • WebKit

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorriam diversos problemas de memória corrompida no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5791: Apple

    CVE-2015-5792: Apple

    CVE-2015-5793: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5798: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5808: Joe Vennix

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5814: Apple

    CVE-2015-5815: Apple

    CVE-2015-5816: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

    CVE-2015-5822: Mark S. Miller, do Google

    CVE-2015-5823: Apple

  • WebKit

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: um invasor pode criar cookies inesperados para um site

    Descrição: o WebKit aceitaria a definição de vários cookies no API document.cookie. Esse problema foi solucionado por meio de melhorias na análise.

    ID de CVE

    CVE-2015-3801: Erling Ellingsen, do Facebook

  • WebKit

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: o API Performance pode permitir que um site malicioso vaze o histórico de navegação, atividade de rede e movimentos do mouse

    Descrição: o API Performance do WebKit pode ter permitido o vazamento do histórico de navegação, atividade da rede e movimentos do mouse em um site malicioso por meio da medição do tempo. Esse problema foi resolvido limitando a solução de tempo.

    ID de CVE

    CVE-2015-5825: Yossi Oren et al. do Network Security Lab da Columbia University

  • WebKit

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: acessar um site malicioso pode resultar em discagem não esperada

    Descrição: havia um problema no processamento de URLs tel://, facetime:// e facetime-audio://. Esse problema foi resolvido por meio de melhorias no gerenciamento de URLs.

    ID de CVE

    CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

  • CSS do WebKit

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: um site malicioso pode extrair dados de origem cruzada

    Descrição: o Safari permitia o carregamento de folhas de estilo de origem cruzada com tipos MIME não CSS, que podiam ser usadas para extrair dados de origem cruzada. Esse problema foi resolvido limitando os tipos MIME para folhas de estilo de origem cruzada.

    ID de CVE

    CVE-2015-5826: filedescriptior, Chris Evans

  • Vinculações de JavaScript do WebKit

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: referências de objetos podem causar vazamento entre origens isoladas em eventos personalizados, eventos de mensagem e eventos de estado pop

    Descrição: um problema de vazamento de objetos rompeu o limite de isolamento entre origens. Esse problema foi resolvido por meio de melhorias no isolamento entre origens.

    ID de CVE

    CVE-2015-5827: Gildas

  • Carregamento de página do WebKit

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: o WebSockets pode ignorar a imposição da política de conteúdo misto

    Descrição: um problema de imposição insuficiente de política permitia ao WebSockets carregar conteúdo misto. Esse problema foi resolvido estendendo a imposição da política de conteúdo misto para o WebSockets.

    Kevin G. Jones, da Higher Logic

  • Plug-ins do WebKit

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impacto: os plug-ins do Safari podiam enviar uma solicitação HTTP sem saber que a solicitação foi redirecionada

    Descrição: o API de plug-ins do Safari não comunicava aos plug-ins que havia ocorrido um redirecionamento por parte do servidor. Isso podia levar a solicitações não autorizadas. Esse problema foi resolvido por meio de melhorias no suporte de API.

    ID de CVE

    CVE-2015-5828: Lorenzo Fontana

O FaceTime não está disponível em todos os países ou regiões.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: