Sobre o conteúdo de segurança do Safari 10.0.3

Este documento descreve o conteúdo de segurança do Safari 10.0.3.

Sobre as atualizações de segurança da Apple

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação seja conduzida e correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Safari 10.0.3

Safari

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.3

Impacto: acessar um site criado com códigos maliciosos pode levar a falsificação da barra de endereços

Descrição: um problema de gerenciamento de estado na barra de endereços foi resolvido por meio de melhorias no processamento de URLs.

CVE-2017-2359: xisigr do Xuanwu Lab da Tencent (tencent.com)

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.3

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada

Descrição: um problema de acesso de protótipo foi resolvido por meio de melhorias no processamento de exceções.

CVE-2017-2350: Gareth Heyes da Portswigger Web Security

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.3

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na execução arbitrária de códigos

Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-2354: Neymar do Xuanwu Lab da Tencent (tencent.com) em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-2362: Ivan Fratric do Google Project Zero

CVE-2017-2373: Ivan Fratric do Google Project Zero

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.3

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na execução arbitrária de códigos

Descrição: um problema de inicialização de memória foi solucionado por meio de melhorias no processamento da memória.

CVE-2017-2355: Team Pangu e lokihardt na PwnFest 2016

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.3

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na execução arbitrária de códigos

Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias na validação de entradas.

CVE-2017-2356: Team Pangu e lokihardt na PwnFest 2016

CVE-2017-2369: Ivan Fratric do Google Project Zero

CVE-2017-2366: Kai Kang do Xuanwu Lab da Tencent (tencent.com)

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.3

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada

Descrição: havia diversos problemas de validação no processamento do carregamento de páginas. Esses problemas foram solucionados por meio de melhorias na lógica.

CVE-2017-2363: lokihardt do Google Project Zero

CVE-2017-2364: lokihardt do Google Project Zero

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.3

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada

Descrição: havia um problema de validação no processamento de variáveis. Esse problema foi solucionado por meio de melhorias na validação.

CVE-2017-2365: lokihardt do Google Project Zero

Outros agradecimentos

Fortalecimento do WebKit

Gostaríamos de agradecer a Ben Gra, Kaveh Razavi, Erik Bosman, Herbert Bos e Cristiano Giuffrida do grupo VUSec da Vrije Universiteit Amsterdam pela ajuda.