Sobre o conteúdo de segurança do Safari 10

Este documento descreve o conteúdo de segurança do Safari 10.

Sobre as atualizações de segurança da Apple

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de Segurança da Apple.

Para obter informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Safari 10

Lançado em 20 de setembro de 2016

Leitor do Safari

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: habilitar o recurso Leitor do Safari em um site criado com códigos maliciosos pode resultar em transmissão universal de script entre sites

Descrição: diversos problemas de validação foram corrigidos por meio da limpeza de entradas.

CVE-2016-4618: Erling Ellingsen

Entrada atualizada em 23 de setembro de 2016

Abas do Safari

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: acessar um site criado com códigos maliciosos pode levar a spoofing da barra de endereços

Descrição: havia um problema de gerenciamento de estados no processamento das sessões de abas. Esse problema foi resolvido por meio do gerenciamento do estado de sessões.

CVE-2016-4751: Daniel Chatfield do Monzo Bank

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: o processamento de conteúdo da web desenvolvido com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia um problema de análise ao processar protótipos de erros. Isso foi resolvido por meio de melhorias na validação.

CVE-2016-4728: Daniel Divricean

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: acessar um site criado com códigos maliciosos pode levar ao vazamento de dados confidenciais

Descrição: havia um problema de permissões no processamento da variável de localização. Isso foi solucionado por meio da adição de outras verificações de propriedade.

CVE-2016-4758: Masato Kinugawa da Cure53

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: o processamento de conteúdo da web desenvolvido com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: diversos problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich do Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo da Palo Alto Networks

CVE-2016-4762: Zheng Huang da Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: anônimo em parceria com a Zero Day Initiative da Trend Micro

CVE-2016-4769: Tongbo Luo da Palo Alto Networks

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: um site criado com códigos maliciosos pode acessar serviços não HTTP

Descrição: a compatibilidade do Safari com HTTP/0.9 permitia a exploração entre protocolos de serviços não HTTP usando DNS rebinding. O problema foi resolvido por meio da restrição de respostas do HTTP/0.9 a portas padrão e do cancelamento de cargas de recursos se o documento fosse carregado com uma versão diferente do protocolo HTTP.

CVE-2016-4760: Jordan Milne

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: o processamento de conteúdo da web desenvolvido com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no gerenciamento de estado.

CVE-2016-4733: Natalie Silvanovich do Google Project Zero

CVE-2016-4765: Apple

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: um invasor com posição de rede privilegiada pode interceptar e alterar o tráfego de rede para aplicativos usando WKWebView com HTTPS

Descrição: havia um problema de validação do certificado durante o processamento de WKWebView. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2016-4763: um pesquisador anônimo

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: o processamento de conteúdo da web desenvolvido com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no gerenciamento de estado.

CVE-2016-4764: Apple

Entrada adicionada em 3 de novembro de 2016

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: