Acerca dos conteúdos de segurança do Safari 6
Este documento descreve os conteúdos de segurança do Safari 6.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.
Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple."
Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
Safari 6.0
Safari
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: visitar um site criado com intuito malicioso poderá causar um ataque de execução de scripts entre sites
Descrição: ocorria um problema de execução de scripts entre sites no processamento de URL feed://. Esta atualização remove o processamento de URL feed://.
ID CVE
CVE-2012-0678: Masato Kinugawa
Safari
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: visitar um site criado com intuito malicioso poderá provocar o envio de ficheiros do sistema do utilizador para um servidor remoto
Descrição: ocorria um problema de controlo de acessos no processamento de URL feed://. Esta atualização remove o processamento de URL feed://.
ID CVE
CVE-2012-0679: Aaron Sigel da vtty.com
Safari
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: as palavras-passe poderão ser preenchidas automaticamente, mesmo que o site especifique que o preenchimento automático está desativado
Descrição: os elementos de introdução de palavras-passe com o atributo de preenchimento automático definido como desligado estavam a ser preenchidos automaticamente. Esta atualização resolve o problema através do processamento melhorado do atributo "autocomplete".
ID CVE
CVE-2012-0680: Dan Poltawski do Moodle
Descargas do Safari
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: abrir ficheiros criados com intuito malicioso em determinados sites poderá provocar um ataque de scripts entre sites
Descrição: ocorria um problema no suporte do Safari para o valor "attachment" do cabeçalho Disposição de conteúdos HTTP. Este cabeçalho é utilizado por muitos sites para servir ficheiros carregados para o site por terceiros, tais como anexos em aplicações de e-mail baseado na web. Qualquer script em ficheiros servidos com este valor de cabeçalho seria executado como se o ficheiro tivesse sido servido de forma incorporada com acesso total a outros recursos no servidor de origem. Este problema é resolvido através da descarga dos recursos fornecidos com este cabeçalho, em vez da apresentação dos mesmos integrados.
ID CVE
CVE-2011-3426: Mickey Shkatov do laplinker.com, Kyle Osborn e Hidetake Jo da Microsoft e da Microsoft Vulnerability Research (MSVR)
WebKit
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: ocorreram vários problemas de corrupção de memória no WebKit. Estes problemas são resolvidos através de um melhor processamento da memória.
ID CVE
CVE-2011-3016: miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: wushi da team509 em colaboração com a iDefense VCP, Arthur Gerkis
CVE-2011-3036: miaubiz
CVE-2011-3037: miaubiz
CVE-2011-3038: miaubiz
CVE-2011-3039: miaubiz
CVE-2011-3040: miaubiz
CVE-2011-3041: miaubiz
CVE-2011-3042: miaubiz
CVE-2011-3043: miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: miaubiz
CVE-2011-3053: miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: miaubiz
CVE-2011-3064: Atte Kettunen do OUSPG
CVE-2011-3068: miaubiz
CVE-2011-3069: miaubiz
CVE-2011-3071: pa_kt em colaboração com o programa Zero Day Initiative da HP
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Slawomir Blazek
CVE-2011-3075: miaubiz
CVE-2011-3076: miaubiz
CVE-2011-3078: Martin Barbella da Equipa de segurança do Google Chrome
CVE-2011-3081: miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: Skylined da Equipa de segurança do Google, miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: miaubiz
CVE-2011-3966: Aki Helin da OUSPG
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: Segurança dos produtos da Apple
CVE-2012-0683: Dave Mandelin da Mozilla
CVE-2012-1520: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer, Jose A. Vazquez do spa-s3c.blogspot.com em colaboração com a iDefense VCP
CVE-2012-1521: Skylined da Equipa de segurança do Google Chrome, Jose A. Vazquez do spa-s3c.blogspot.com em colaboração com a iDefense VCP
CVE-2012-3589: Dave Mandelin da Mozilla
CVE-2012-3590: Segurança dos produtos da Apple
CVE-2012-3591: Segurança dos produtos da Apple
CVE-2012-3592: Segurança dos produtos da Apple
CVE-2012-3593: Segurança dos produtos da Apple
CVE-2012-3594: miaubiz
CVE-2012-3595: Martin Barbella da Segurança do Google Chrome
CVE-2012-3596: Skylined da Equipa de segurança do Google Chrome
CVE-2012-3597: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3599: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3600: David Levin da comunidade de desenvolvimento do Chromium
CVE-2012-3603: Segurança dos produtos da Apple
CVE-2012-3604: Skylined da Equipa de segurança do Google Chrome
CVE-2012-3605: Cris Neckar da Equipa de segurança do Google Chrome
CVE-2012-3608: Skylined da Equipa de segurança do Google Chrome
CVE-2012-3609: Skylined da Equipa de segurança do Google Chrome
CVE-2012-3610: Skylined da Equipa de segurança do Google Chrome
CVE-2012-3611: Segurança dos produtos da Apple
CVE-2012-3615: Stephen Chenney da comunidade de desenvolvimento do Chromium
CVE-2012-3618: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3620: Abhishek Arya da Equipa de segurança do Google Chrome
CVE-2012-3625: Skylined da Equipa de segurança do Google Chrome
CVE-2012-3626: Segurança dos produtos da Apple
CVE-2012-3627: Skylined e Abhishek Arya da Equipa de segurança do Google Chrome
CVE-2012-3628: Segurança de produtos da Apple
CVE-2012-3629: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3630: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3631: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3633: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3634: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3635: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3636: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3637: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3638: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3639: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3640: miaubiz
CVE-2012-3641: Slawomir Blazek
CVE-2012-3642: miaubiz
CVE-2012-3644: miaubiz
CVE-2012-3645: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3646: Julien Chaffraix da comunidade de desenvolvimento do Chromium, Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3653: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3655: Skylined da Equipa de segurança do Google Chrome
CVE-2012-3656: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3661: Segurança dos produtos da Apple
CVE-2012-3663: Skylined da Equipa de segurança do Google Chrome
CVE-2012-3664: Thomas Sepez da comunidade de desenvolvimento do Chromium
CVE-2012-3665: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-3666: Apple
CVE-2012-3667: Trevor Squires do propaneapp.com
CVE-2012-3668: Segurança dos produtos da Apple
CVE-2012-3669: Segurança dos produtos da Apple
CVE-2012-3670: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer, Arthur Gerkis
CVE-2012-3674: Skylined da Equipa de segurança do Google Chrome
CVE-2012-3678: Segurança dos produtos da Apple
CVE-2012-3679: Chris Leary da Mozilla
CVE-2012-3680: Skylined da Equipa de segurança do Google Chrome
CVE-2012-3681: Apple
CVE-2012-3682: Adam Barth da Equipa de segurança do Google Chrome
CVE-2012-3683: wushi da team509 em colaboração com a iDefense VCP
CVE-2012-3686: Robin Cao da Torch Mobile (Pequim)
WebKit
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: arrastar e largar texto selecionado numa página web poderá levar à divulgação de informações entre sites
Descrição: ocorria um problema de origem cruzada no processamento de eventos de arrastar e largar. Este problema é resolvido através de uma melhoria no registo da origem.
ID CVE
CVE-2012-3689: David Bloom da Cue
WebKit
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: arrastar e largar texto selecionado numa página web poderá provocar o envio de ficheiros do sistema do utilizador para um servidor remoto
Descrição: ocorria um problema de controlo de acessos no processamento de eventos de arrastar e largar. Este problema é resolvido através de uma melhoria no registo da origem.
ID CVE
CVE-2012-3690: David Bloom da Cue
WebKit
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: visitar um site criado com intuito malicioso poderá levar à divulgação de informações entre sites
Descrição: ocorria um problema de origem cruzada no processamento dos valores de propriedade CSS. Este problema é resolvido através de uma melhoria no registo da origem.
ID CVE
CVE-2012-3691: Apple
WebKit
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: um site malicioso poderá conseguir substituir os conteúdos de uma iframe noutro site
Descrição: ocorria um problema de origem cruzada no processamento de iframes em janelas pop-up. Este problema é resolvido através de uma melhoria no registo da origem.
ID CVE
CVE-2011-3067: Sergey Glazunov
WebKit
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: visitar um site criado com intuito malicioso poderá levar à divulgação de informações entre sites
Descrição: ocorria um problema de origem cruzada no processamento de iframes e de identificadores de fragmentos. Este problema é resolvido através de uma melhoria no registo da origem.
ID CVE
CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt e Dan Boneh do Laboratório de segurança da Universidade de Stanford
WebKit
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: os caracteres idênticos num URL podem ser utilizados para disfarçar um site
Descrição: o suporte para IDN (International Domain Name) e os tipos de letra Unicode incorporados no Safari poderiam ter sido utilizados para criar um URL que contivesse caracteres idênticos. Isto poderia ter sido utilizado num site malicioso para encaminhar o utilizador para um site falsificado que, visualmente, aparentasse ser um domínio legítimo. Este problema é resolvido através do fornecimento de suplementos para a lista de caracteres idênticos conhecidos do WebKit. Os caracteres idênticos são gerados em Punycode na barra de endereços.
ID CVE
CVE-2012-3693: Matt Cooley da Symantec
WebKit
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: arrastar e largar um ficheiro no Safari poderá revelar o caminho do sistema de ficheiros do ficheiro para o site
Descrição: ocorria um problema de divulgação de informações no processamento de ficheiros arrastados. Este problema é resolvido através da melhoria do processamento de ficheiros arrastados.
ID CVE
CVE-2012-3694: Daniel Cheng da Google, Aaron Sigel do vtty.com
WebKit
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: visitar um site criado com intuito malicioso poderá causar um ataque de execução de scripts entre sites
Descrição: ocorria um problema de colocação em forma canónica no processamento de URL. Tal poderá ter levado à execução de scripts entre sites que utilizam a propriedade location.href. Este problema é resolvido através da melhoria da colocação em forma canónica de URL.
ID CVE
CVE-2012-3695: Masato Kinugawa
WebKit
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: visitar um site criado com intuito malicioso poderá levar à divisão de pedidos HTTP
Descrição: ocorria um problema de injeção de cabeçalhos HTTP no processamento de WebSockets. Este problema é resolvido através da melhoria do manuseamento de URI de WebSockets.
ID CVE
CVE-2012-3696: David Belcher da Equipa de resposta a incidentes de segurança da BlackBerry
WebKit
Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: um site criado com intuito malicioso poderá conseguir falsificar o valor na barra de URL
Descrição: ocorria um problema de gestão de estado no processamento do histórico de sessões. As navegações para um fragmento na página atual poderão fazer com que o Safari apresente informações incorretas na barra de URL. Este problema é resolvido através da melhoria do registo de estado das sessões.
ID CVE
CVE-2011-2845: Jordi Chancel
WebKit
Disponível para: OS X Lion v10.7.4, Lion Server v10.7.4
Impacto: um atacante poderá conseguir escapar à sandbox e aceder aos ficheiros aos quais o utilizador tenha acesso
Descrição: ocorria um problema de controlo de acessos no processamento de URL de ficheiros. Um atacante que obtiver a execução de código arbitrário num processo web do Safari poderá conseguir ignorar a sandbox e aceder aos ficheiros aos quais o utilizador do Safari tem acesso. Este problema é resolvido através da melhoria no processamento de URL de ficheiros.
ID CVE
CVE-2012-3697: Aaron Sigel da vtty.com
WebKit
Disponível para: OS X Lion v10.7.4, Lion Server v10.7.4
Impacto: visitar um site criado com intuito malicioso poderá levar à divulgação de conteúdos de memória
Descrição: ocorria um problema de acesso à memória não inicializada no processamento de imagens SVG. Este problema é resolvido através da melhoria da inicialização da memória.
ID CVE
CVE-2012-3650: Apple
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.