Acerca dos conteúdos de segurança do Safari 5.1.4
Este documento descreve os conteúdos de segurança do Safari 5.1.4.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
Safari 5.1.4
Safari
Disponível para: Windows 7, Vista, XP SP2 ou posterior
Impacto: os caracteres idênticos num URL podem ser utilizados para disfarçar um site
Descrição: o suporte para IDN (International Domain Name) no Safari pode ser utilizado para criar um URL que contém caracteres idênticos. Isto pode ser utilizado num site malicioso para encaminhar o utilizador para um site falsificado que, visualmente, aparenta ser um domínio legítimo. Este problema é resolvido através de uma verificação melhorada da validade do domínio. Este problema não afeta os sistemas OS X
ID CVE
CVE-2012-0584: Matt Cooley da Symantec
Safari
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 ou posterior
Impacto: as visitas a páginas web poderão ficar registadas no histórico do navegador mesmo quando a navegação privada está ativa
Descrição: a navegação privada do Safari foi concebida para evitar o registo de uma sessão de navegação. As páginas visitadas como resultado de um site que utiliza métodos JavaScript pushState ou replaceState foram registadas no histórico do navegador mesmo quando o modo de navegação privada estava ativo. Este problema é resolvido através do não registo das referidas visitas quando a navegação privada está ativa.
ID CVE
CVE-2012-0585: Eric Melville da American Express
WebKit
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 ou posterior
Impacto: visitar um site criado com intuito malicioso poderá causar um ataque de execução de scripts entre sites
Descrição: existiam diversos problemas relacionados com a execução de scripts entre sites no WebKit
ID CVE
CVE-2011-3881: Sergey Glazunov
CVE-2012-0586: Sergey Glazunov
CVE-2012-0587: Sergey Glazunov
CVE-2012-0588: Jochen Eisinger da Equipa do Google Chrome
CVE-2012-0589: Alan Austin do polyvore.com
WebKit
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 ou posterior
Impacto: visitar um site criado com intuito malicioso poderá levar à divulgação de cookies
Descrição: existia um problema de origem cruzada no WebKit, que poderia permitir que os cookies fossem divulgados entre origens.
ID CVE
CVE-2011-3887: Sergey Glazunov
WebKit
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 ou posterior
Impacto: visitar um site criado com intuito malicioso e arrastar conteúdos com o rato poderá causar um ataque de execução de scripts entre sites
Descrição: existia um problema de origem cruzada no WebKit, que poderia permitir que os conteúdos fossem arrastados e largados entre origens.
ID CVE
CVE-2012-0590: Adam Barth da Equipa de Segurança do Google Chrome
WebKit
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 ou posterior
Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: ocorreram vários problemas de corrupção de memória no WebKit.
ID CVE
CVE-2011-2825: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint
CVE-2011-2833: Apple
CVE-2011-2846: Arthur Gerkis, miaubiz
CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2011-2854: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2011-2855: Arthur Gerkis, wushi da team509 em colaboração com a iDefense VCP
CVE-2011-2857: miaubiz
CVE-2011-2860: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2011-2866: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2011-2867: Dirk Schulze
CVE-2011-2868: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2011-2869: Cris Neckar da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2011-2870: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2011-2871: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2011-2872: Abhishek Arya (Inferno) e Cris Neckar da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2011-2873: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2011-2877: miaubiz
CVE-2011-3885: miaubiz
CVE-2011-3888: miaubiz
CVE-2011-3897: pa_kt em colaboração com o programa Zero Day Initiative da TippingPoint
CVE-2011-3908: Aki Helin da OUSPG
CVE-2011-3909: Equipa de Segurança do Google Chrome (scarybeasts) e Chu
CVE-2011-3928: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint
CVE-2012-0591: miaubiz e Martin Barbella
CVE-2012-0592: Alexander Gavrun em colaboração com o programa Zero Day Initiative da TippingPoint
CVE-2012-0593: Lei Zhang da comunidade de desenvolvimento do Chromium
CVE-2012-0594: Adam Klein da comunidade de desenvolvimento do Chromium
CVE-2012-0595: Apple
CVE-2012-0596: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0597: miaubiz
CVE-2012-0598: Sergey Glazunov
CVE-2012-0599: Dmytro Gorbunov do SaveSources.com
CVE-2012-0600: Marshall Greenblatt, Dharani Govindan do Google Chrome, miaubiz, Aki Helin da OUSPG
CVE-2012-0601: Apple
CVE-2012-0602: Apple
CVE-2012-0603: Apple
CVE-2012-0604: Apple
CVE-2012-0605: Apple
CVE-2012-0606: Apple
CVE-2012-0607: Apple
CVE-2012-0608: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0609: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0610: miaubiz, Martin Barbella utilizando AddressSanitizer
CVE-2012-0611: Martin Barbella utilizando AddressSanitizer
CVE-2012-0612: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0613: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0614: miaubiz, Martin Barbella utilizando AddressSanitizer
CVE-2012-0615: Martin Barbella utilizando AddressSanitizer
CVE-2012-0616: miaubiz
CVE-2012-0617: Martin Barbella utilizando AddressSanitizer
CVE-2012-0618: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0619: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0620: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0621: Martin Barbella utilizando AddressSanitizer
CVE-2012-0622: Dave Levin e Abhishek Arya da Equipa de Segurança do Google Chrome
CVE-2012-0623: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0624: Martin Barbella utilizando AddressSanitizer
CVE-2012-0625: Martin Barbella
CVE-2012-0626: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0627: Apple
CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0629: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome
CVE-2012-0630: Sergio Villar Senin da Igalia
CVE-2012-0631: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome
CVE-2012-0632: Cris Neckar da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0633: Apple
CVE-2012-0635: Julien Chaffraix da comunidade de desenvolvimento do Chromium, Martin Barbella utilizando AddressSanitizer
CVE-2012-0636: Jeremy Apthorp da Google, Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0637: Apple
CVE-2012-0638: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0639: Abhishek Arya (Inferno) da Equipa de Segurança do Google Chrome utilizando AddressSanitizer
CVE-2012-0648: Apple
WebKit
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 ou posterior
Impacto: os cookies poderão ser definidos por sites de terceiros, mesmo quando o Safari está configurado para bloqueá-los
Descrição: existia um problema com a aplicação da política de cookies. Os sites de outros fabricantes poderiam definir cookies se a preferência "Bloquear cookies" no Safari estivesse definida para a predefinição "De terceiros e anunciantes".
ID CVE
CVE-2012-0640: nshah
WebKit
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 ou posterior
Impacto: as credenciais de autenticação HTTP poderão ser inadvertidamente reveladas a outro site
Descrição: se algum site utilizar autenticação HTTP e redirecionar para outro site, as credenciais de autenticação podem ser enviadas para o outro site.
ID CVE
CVE-2012-0647: um investigador anónimo
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.