Sobre o conteúdo de segurança do Safari 10

Este documento descreve o conteúdo de segurança do Safari 10.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Safari 10

Lançado em 20 de setembro de 2016

Leitor do Safari

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: ativar o recurso Leitor do Safari em um site criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: diversos problemas de validação foram resolvidos por meio de melhorias na limpeza de entradas.

CVE-2016-4618: Erling Ellingsen

Entrada atualizada em 23 de setembro de 2016

Abas do Safari

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços

Descrição: havia um problema de gerenciamento de estados no processamento das sessões de abas. Esse problema foi resolvido por meio do gerenciamento do estado de sessões.

CVE-2016-4751: Daniel Chatfield do Monzo Bank

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia um problema de análise no processamento de protótipos de erro. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2016-4728: Daniel Divricean

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: acessar um site criado com códigos maliciosos pode causar o vazamento de dados confidenciais

Descrição: havia um problema de permissões no processamento da variável de localização. Isso foi resolvido por meio da adição de outras verificações de propriedade.

CVE-2016-4758: Masato Kinugawa da Cure53

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: natashenka do Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo da Palo Alto Networks

CVE-2016-4762: Zheng Huang do Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: anônimo trabalhando com a Zero Day Initiative da Trend Micro

CVE-2016-4769: Tongbo Luo da Palo Alto Networks

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: um site malicioso pode conseguir acessar serviços que não são HTTP

Descrição: o suporte do Safari do HTTP/0.9 permitiu exploração entre protocolos de serviços que não são HTTP usando reassociação de DNS. O problema foi solucionado pela restrição de respostas do HTTP/0.9 para portas padrão e pelo cancelamento de cargas de recursos no caso de o documento ter sido carregado com uma versão diferente do protocolo HTTP.

CVE-2016-4760: Jordan Milne

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no gerenciamento de estados.

CVE-2016-4733: natashenka do Google Project Zero

CVE-2016-4765: Apple

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: um invasor em uma posição privilegiada na rede pode interceptar e alterar o tráfego de rede para aplicativos que usam WKWebView com HTTPS

Descrição: ocorria um problema de validação do certificado durante o processamento do WKWebView. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2016-4763: um pesquisador anônimo

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no gerenciamento de estados.

CVE-2016-4764: Apple

Entrada adicionada em 3 de novembro de 2016

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: