Acerca dos conteúdos de segurança do Safari 9

Este documento descreve os conteúdos de segurança do Safari 9.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

Safari 9

  • Safari

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: visitar um site malicioso poderá provocar a falsificação da interface do utilizador

    Descrição: várias inconsistências de interface de utilizador poderão permitir que um site malicioso apresente um URL arbitrário. Estes problemas foram resolvidos através de uma melhoria na lógica de apresentação de URL.

    ID CVE

    CVE-2015-5764: Antonio Sanso (@asanso) da Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski através da Secunia, Masato Kinugawa

  • Descargas do Safari

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: o histórico de quarentena do LaunchServices poderá revelar o histórico de navegação

    Descrição: o acesso ao histórico de quarentena do LaunchServices poderá ter revelado o histórico de navegação com base nas descargas de ficheiros. Este problema foi resolvido através da melhoria na eliminação do histórico de quarentena.

  • Extensões do Safari

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: as comunicações locais entre as extensões do Safari e as apps auxiliares poderão ser comprometidas

    Descrição: as comunicações locais entre as extensões do Safari, como gestores de palavras-passe, e as respetivas apps auxiliares nativas poderão ser comprometidas por outra app nativa. O problema foi resolvido através de um novo canal de comunicações autenticado entre as extensões do Safari e as apps auxiliares.

  • Extensões do Safari

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: as extensões do Safari poderão ser substituídas no disco

    Descrição: uma extensão do Safari instalada pelo utilizador e validada poderá ser substituída no disco sem pedir ao utilizador. Este problema foi resolvido através da melhoria na validação das extensões.

    ID CVE

    CVE-2015-5780: Ben Toms da macmule.com

  • Navegação segura do Safari

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: navegar para o endereço IP de um site malicioso conhecido poderá não acionar um aviso de segurança

    Descrição: a funcionalidade Navegação segura do Safari não avisava os utilizadores quando estes acediam a sites maliciosos através dos respetivos endereços IP. Este problema foi resolvido através de uma melhoria na deteção de sites maliciosos.

    Rahul M (@rahulmfg) da TagsDock

  • WebKit

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: imagens parcialmente carregadas poderão retirar dados de origens cruzadas

    Descrição: existia uma condição de disputa na validação da origem de imagens. Este problema foi resolvido através da melhoria na validação das origens dos recursos.

    ID CVE

    CVE-2015-5788: Apple

  • WebKit

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5791: Apple

    CVE-2015-5792: Apple

    CVE-2015-5793: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5798: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5808: Joe Vennix

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5814: Apple

    CVE-2015-5815: Apple

    CVE-2015-5816: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

    CVE-2015-5822: Mark S. Miller da Google

    CVE-2015-5823: Apple

  • WebKit

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: um atacante poderá conseguir criar cookies não desejados para um site

    Descrição: o WebKit aceitava a definição de vários cookies na API document.cookie. Este problema foi resolvido através da análise melhorada.

    ID CVE

    CVE-2015-3801: Erling Ellingsen do Facebook

  • WebKit

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: a API de desempenho poderá permitir que um site malicioso divulgue o histórico de navegação, a atividade de rede e os movimentos do rato

    Descrição: a API de desempenho do WebKit poderá permitir que um site malicioso divulgue o histórico de navegação, a atividade de rede e os movimentos do rato ao medir o tempo. Este problema foi resolvido ao limitar a resolução de tempo.

    ID CVE

    CVE-2015-5825: Yossi Oren et al. do Network Security Lab da Universidade de Columbia

  • WebKit

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: visitar um site malicioso poderá provocar a marcação indesejada

    Descrição: existia um problema no processamento dos URL tel://, facetime:// e facetime-audio://. Este problema foi resolvido através do processamento melhorado dos URL.

    ID CVE

    CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

  • WebKit CSS

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: um site malicioso poderá retirar dados de origens cruzadas

    Descrição: o Safari permitia o carregamento de folhas de estilo de origens cruzadas com tipos MIME não CSS que poderiam ser utilizados para a exfiltração de dados de origens cruzadas. Este problema foi resolvido ao limitar os tipos MIME para folhas de estilo de origens cruzadas.

    ID CVE

    CVE-2015-5826: filedescriptior, Chris Evans

  • Ligações de JavaScript do WebKit

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: poderá haver divulgação de referências de objetos entre origens isoladas em eventos personalizados, eventos de mensagem e eventos de estado pop

    Descrição: um problema de divulgação de objetos quebrava o limite de isolamento entre origens. Este problema foi resolvido através de uma melhoria no isolamento entre origens.

    ID CVE

    CVE-2015-5827: Gildas

  • Carregamento de páginas do WebKit

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: os WebSockets poderão ignorar a aplicação de políticas de conteúdos mistos

    Descrição: um problema de aplicação de políticas insuficiente permitia que os WebSockets carregassem conteúdos mistos. Este problema foi resolvido ao alargar a aplicação da política de conteúdos mistos aos WebSockets.

    Kevin G. Jones da Higher Logic

  • Plug-ins do WebKit

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11

    Impacto: os plug-ins do Safari poderão enviar um pedido HTTP sem saber que o pedido foi redirecionado

    Descrição: a API de plug-ins do Safari não comunicava aos plug-ins o redirecionamento ocorrido no servidor. Isto poderia originar pedidos não autorizados. Este problema foi resolvido através da melhoria do suporte de API.

    ID CVE

    CVE-2015-5828: Lorenzo Fontana

O FaceTime não está disponível em todos os países ou regiões.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: