Sobre o conteúdo de segurança do Safari 10
Este documento descreve o conteúdo de segurança do Safari 10.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Safari 10
Leitor do Safari
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12
Impacto: ativar o recurso Leitor do Safari em um site criado com códigos maliciosos pode causar a execução universal de scripts entre sites
Descrição: diversos problemas de validação foram resolvidos por meio de melhorias na limpeza de entradas.
CVE-2016-4618: Erling Ellingsen
Abas do Safari
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: havia um problema de gerenciamento de estados no processamento das sessões de abas. Esse problema foi resolvido por meio do gerenciamento do estado de sessões.
CVE-2016-4751: Daniel Chatfield do Monzo Bank
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de análise no processamento de protótipos de erro. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2016-4728: Daniel Divricean
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12
Impacto: acessar um site criado com códigos maliciosos pode causar o vazamento de dados confidenciais
Descrição: havia um problema de permissões no processamento da variável de localização. Isso foi resolvido por meio da adição de outras verificações de propriedade.
CVE-2016-4758: Masato Kinugawa da Cure53
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: natashenka do Google Project Zero
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo da Palo Alto Networks
CVE-2016-4762: Zheng Huang do Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: anônimo trabalhando com a Zero Day Initiative da Trend Micro
CVE-2016-4769: Tongbo Luo da Palo Alto Networks
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12
Impacto: um site malicioso pode conseguir acessar serviços que não são HTTP
Descrição: o suporte do Safari do HTTP/0.9 permitiu exploração entre protocolos de serviços que não são HTTP usando reassociação de DNS. O problema foi solucionado pela restrição de respostas do HTTP/0.9 para portas padrão e pelo cancelamento de cargas de recursos no caso de o documento ter sido carregado com uma versão diferente do protocolo HTTP.
CVE-2016-4760: Jordan Milne
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no gerenciamento de estados.
CVE-2016-4733: natashenka do Google Project Zero
CVE-2016-4765: Apple
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12
Impacto: um invasor em uma posição privilegiada na rede pode interceptar e alterar o tráfego de rede para aplicativos que usam WKWebView com HTTPS
Descrição: ocorria um problema de validação do certificado durante o processamento do WKWebView. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2016-4763: um pesquisador anônimo
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no gerenciamento de estados.
CVE-2016-4764: Apple
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.