Acerca dos conteúdos de segurança do Safari 6

Este documento descreve os conteúdos de segurança do Safari 6.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple."

Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

Safari 6.0

  • Safari

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: visitar um site criado com intuito malicioso poderá causar um ataque de execução de scripts entre sites

    Descrição: ocorria um problema de execução de scripts entre sites no processamento de URL feed://. Esta atualização remove o processamento de URL feed://.

    ID CVE

    CVE-2012-0678: Masato Kinugawa

  • Safari

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: visitar um site criado com intuito malicioso poderá provocar o envio de ficheiros do sistema do utilizador para um servidor remoto

    Descrição: ocorria um problema de controlo de acessos no processamento de URL feed://. Esta atualização remove o processamento de URL feed://.

    ID CVE

    CVE-2012-0679: Aaron Sigel da vtty.com

  • Safari

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: as palavras-passe poderão ser preenchidas automaticamente, mesmo que o site especifique que o preenchimento automático está desativado

    Descrição: os elementos de introdução de palavras-passe com o atributo de preenchimento automático definido como desligado estavam a ser preenchidos automaticamente. Esta atualização resolve o problema através do processamento melhorado do atributo "autocomplete".

    ID CVE

    CVE-2012-0680: Dan Poltawski do Moodle

  • Descargas do Safari

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: abrir ficheiros criados com intuito malicioso em determinados sites poderá provocar um ataque de scripts entre sites

    Descrição: ocorria um problema no suporte do Safari para o valor "attachment" do cabeçalho Disposição de conteúdos HTTP. Este cabeçalho é utilizado por muitos sites para servir ficheiros carregados para o site por terceiros, tais como anexos em aplicações de e-mail baseado na web. Qualquer script em ficheiros servidos com este valor de cabeçalho seria executado como se o ficheiro tivesse sido servido de forma incorporada com acesso total a outros recursos no servidor de origem. Este problema é resolvido através da descarga dos recursos fornecidos com este cabeçalho, em vez da apresentação dos mesmos integrados.

    ID CVE

    CVE-2011-3426: Mickey Shkatov do laplinker.com, Kyle Osborn e Hidetake Jo da Microsoft e da Microsoft Vulnerability Research (MSVR)

  • WebKit

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: ocorreram vários problemas de corrupção de memória no WebKit. Estes problemas são resolvidos através de um melhor processamento da memória.

    ID CVE

    CVE-2011-3016: miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: wushi da team509 em colaboração com a iDefense VCP, Arthur Gerkis

    CVE-2011-3036: miaubiz

    CVE-2011-3037: miaubiz

    CVE-2011-3038: miaubiz

    CVE-2011-3039: miaubiz

    CVE-2011-3040: miaubiz

    CVE-2011-3041: miaubiz

    CVE-2011-3042: miaubiz

    CVE-2011-3043: miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: miaubiz

    CVE-2011-3053: miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: miaubiz

    CVE-2011-3064: Atte Kettunen do OUSPG

    CVE-2011-3068: miaubiz

    CVE-2011-3069: miaubiz

    CVE-2011-3071: pa_kt em colaboração com o programa Zero Day Initiative da HP

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Slawomir Blazek

    CVE-2011-3075: miaubiz

    CVE-2011-3076: miaubiz

    CVE-2011-3078: Martin Barbella da Equipa de segurança do Google Chrome

    CVE-2011-3081: miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: Skylined da Equipa de segurança do Google, miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: miaubiz

    CVE-2011-3966: Aki Helin da OUSPG

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: Segurança dos produtos da Apple

    CVE-2012-0683: Dave Mandelin da Mozilla

    CVE-2012-1520: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer, Jose A. Vazquez do spa-s3c.blogspot.com em colaboração com a iDefense VCP

    CVE-2012-1521: Skylined da Equipa de segurança do Google Chrome, Jose A. Vazquez do spa-s3c.blogspot.com em colaboração com a iDefense VCP

    CVE-2012-3589: Dave Mandelin da Mozilla

    CVE-2012-3590: Segurança dos produtos da Apple

    CVE-2012-3591: Segurança dos produtos da Apple

    CVE-2012-3592: Segurança dos produtos da Apple

    CVE-2012-3593: Segurança dos produtos da Apple

    CVE-2012-3594: miaubiz

    CVE-2012-3595: Martin Barbella da Segurança do Google Chrome

    CVE-2012-3596: Skylined da Equipa de segurança do Google Chrome

    CVE-2012-3597: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3599: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3600: David Levin da comunidade de desenvolvimento do Chromium

    CVE-2012-3603: Segurança dos produtos da Apple

    CVE-2012-3604: Skylined da Equipa de segurança do Google Chrome

    CVE-2012-3605: Cris Neckar da Equipa de segurança do Google Chrome

    CVE-2012-3608: Skylined da Equipa de segurança do Google Chrome

    CVE-2012-3609: Skylined da Equipa de segurança do Google Chrome

    CVE-2012-3610: Skylined da Equipa de segurança do Google Chrome

    CVE-2012-3611: Segurança dos produtos da Apple

    CVE-2012-3615: Stephen Chenney da comunidade de desenvolvimento do Chromium

    CVE-2012-3618: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3620: Abhishek Arya da Equipa de segurança do Google Chrome

    CVE-2012-3625: Skylined da Equipa de segurança do Google Chrome

    CVE-2012-3626: Segurança dos produtos da Apple

    CVE-2012-3627: Skylined e Abhishek Arya da Equipa de segurança do Google Chrome

    CVE-2012-3628: Segurança de produtos da Apple

    CVE-2012-3629: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3630: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3631: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3633: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3634: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3635: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3636: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3637: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3638: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3639: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3640: miaubiz

    CVE-2012-3641: Slawomir Blazek

    CVE-2012-3642: miaubiz

    CVE-2012-3644: miaubiz

    CVE-2012-3645: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3646: Julien Chaffraix da comunidade de desenvolvimento do Chromium, Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3653: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3655: Skylined da Equipa de segurança do Google Chrome

    CVE-2012-3656: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3661: Segurança dos produtos da Apple

    CVE-2012-3663: Skylined da Equipa de segurança do Google Chrome

    CVE-2012-3664: Thomas Sepez da comunidade de desenvolvimento do Chromium

    CVE-2012-3665: Martin Barbella da Equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-3666: Apple

    CVE-2012-3667: Trevor Squires do propaneapp.com

    CVE-2012-3668: Segurança dos produtos da Apple

    CVE-2012-3669: Segurança dos produtos da Apple

    CVE-2012-3670: Abhishek Arya da Equipa de segurança do Google Chrome com utilização do AddressSanitizer, Arthur Gerkis

    CVE-2012-3674: Skylined da Equipa de segurança do Google Chrome

    CVE-2012-3678: Segurança dos produtos da Apple

    CVE-2012-3679: Chris Leary da Mozilla

    CVE-2012-3680: Skylined da Equipa de segurança do Google Chrome

    CVE-2012-3681: Apple

    CVE-2012-3682: Adam Barth da Equipa de segurança do Google Chrome

    CVE-2012-3683: wushi da team509 em colaboração com a iDefense VCP

    CVE-2012-3686: Robin Cao da Torch Mobile (Pequim)

  • WebKit

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: arrastar e largar texto selecionado numa página web poderá levar à divulgação de informações entre sites

    Descrição: ocorria um problema de origem cruzada no processamento de eventos de arrastar e largar. Este problema é resolvido através de uma melhoria no registo da origem.

    ID CVE

    CVE-2012-3689: David Bloom da Cue

  • WebKit

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: arrastar e largar texto selecionado numa página web poderá provocar o envio de ficheiros do sistema do utilizador para um servidor remoto

    Descrição: ocorria um problema de controlo de acessos no processamento de eventos de arrastar e largar. Este problema é resolvido através de uma melhoria no registo da origem.

    ID CVE

    CVE-2012-3690: David Bloom da Cue

  • WebKit

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: visitar um site criado com intuito malicioso poderá levar à divulgação de informações entre sites

    Descrição: ocorria um problema de origem cruzada no processamento dos valores de propriedade CSS. Este problema é resolvido através de uma melhoria no registo da origem.

    ID CVE

    CVE-2012-3691: Apple

  • WebKit

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: um site malicioso poderá conseguir substituir os conteúdos de uma iframe noutro site

    Descrição: ocorria um problema de origem cruzada no processamento de iframes em janelas pop-up. Este problema é resolvido através de uma melhoria no registo da origem.

    ID CVE

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: visitar um site criado com intuito malicioso poderá levar à divulgação de informações entre sites

    Descrição: ocorria um problema de origem cruzada no processamento de iframes e de identificadores de fragmentos. Este problema é resolvido através de uma melhoria no registo da origem.

    ID CVE

    CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt e Dan Boneh do Laboratório de segurança da Universidade de Stanford

  • WebKit

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: os caracteres idênticos num URL podem ser utilizados para disfarçar um site

    Descrição: o suporte para IDN (International Domain Name) e os tipos de letra Unicode incorporados no Safari poderiam ter sido utilizados para criar um URL que contivesse caracteres idênticos. Isto poderia ter sido utilizado num site malicioso para encaminhar o utilizador para um site falsificado que, visualmente, aparentasse ser um domínio legítimo. Este problema é resolvido através do fornecimento de suplementos para a lista de caracteres idênticos conhecidos do WebKit. Os caracteres idênticos são gerados em Punycode na barra de endereços.

    ID CVE

    CVE-2012-3693: Matt Cooley da Symantec

  • WebKit

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: arrastar e largar um ficheiro no Safari poderá revelar o caminho do sistema de ficheiros do ficheiro para o site

    Descrição: ocorria um problema de divulgação de informações no processamento de ficheiros arrastados. Este problema é resolvido através da melhoria do processamento de ficheiros arrastados.

    ID CVE

    CVE-2012-3694: Daniel Cheng da Google, Aaron Sigel do vtty.com

  • WebKit

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: visitar um site criado com intuito malicioso poderá causar um ataque de execução de scripts entre sites

    Descrição: ocorria um problema de colocação em forma canónica no processamento de URL. Tal poderá ter levado à execução de scripts entre sites que utilizam a propriedade location.href. Este problema é resolvido através da melhoria da colocação em forma canónica de URL.

    ID CVE

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: visitar um site criado com intuito malicioso poderá levar à divisão de pedidos HTTP

    Descrição: ocorria um problema de injeção de cabeçalhos HTTP no processamento de WebSockets. Este problema é resolvido através da melhoria do manuseamento de URI de WebSockets.

    ID CVE

    CVE-2012-3696: David Belcher da Equipa de resposta a incidentes de segurança da BlackBerry

  • WebKit

    Disponível para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: um site criado com intuito malicioso poderá conseguir falsificar o valor na barra de URL

    Descrição: ocorria um problema de gestão de estado no processamento do histórico de sessões. As navegações para um fragmento na página atual poderão fazer com que o Safari apresente informações incorretas na barra de URL. Este problema é resolvido através da melhoria do registo de estado das sessões.

    ID CVE

    CVE-2011-2845: Jordi Chancel

  • WebKit

    Disponível para: OS X Lion v10.7.4, Lion Server v10.7.4

    Impacto: um atacante poderá conseguir escapar à sandbox e aceder aos ficheiros aos quais o utilizador tenha acesso

    Descrição: ocorria um problema de controlo de acessos no processamento de URL de ficheiros. Um atacante que obtiver a execução de código arbitrário num processo web do Safari poderá conseguir ignorar a sandbox e aceder aos ficheiros aos quais o utilizador do Safari tem acesso. Este problema é resolvido através da melhoria no processamento de URL de ficheiros.

    ID CVE

    CVE-2012-3697: Aaron Sigel da vtty.com

  • WebKit

    Disponível para: OS X Lion v10.7.4, Lion Server v10.7.4

    Impacto: visitar um site criado com intuito malicioso poderá levar à divulgação de conteúdos de memória

    Descrição: ocorria um problema de acesso à memória não inicializada no processamento de imagens SVG. Este problema é resolvido através da melhoria da inicialização da memória.

    ID CVE

    CVE-2012-3650: Apple

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: