Acerca dos conteúdos de segurança do Safari 8.0.8, do Safari 7.1.8 e do Safari 6.2.8

Este documento descreve os conteúdos de segurança do Safari 8.0.8, do Safari 7.1.8 e do Safari 6.2.8.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

Safari 8.0.8, Safari 7.1.8 e Safari 6.2.8

• Aplicação Safari

  Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10.4

  Impacto: visitar um site malicioso poderá originar uma falsificação da interface de utilizador

  Descrição: um site malicioso podia abrir outro site e solicitar dados do utilizador sem que o utilizador conhecesse a origem da solicitação. Este problema foi resolvido através da apresentação da origem da solicitação para o utilizador.

  ID CVE

  CVE-2015-3729: Code Audit Labs da VulnHunt.com

• WebKit

  Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10.4

  Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

  Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.

  ID CVE

  CVE-2015-3730: Apple

  CVE-2015-3731: Apple

  CVE-2015-3732: Apple

  CVE-2015-3733: Apple

  CVE-2015-3734: Apple

  CVE-2015-3735: Apple

  CVE-2015-3736: Apple

  CVE-2015-3737: Apple

  CVE-2015-3738: Apple

  CVE-2015-3739: Apple

  CVE-2015-3740: Apple

  CVE-2015-3741: Apple

  CVE-2015-3742: Apple

  CVE-2015-3743: Apple

  CVE-2015-3744: Apple

  CVE-2015-3745: Apple

  CVE-2015-3746: Apple

  CVE-2015-3747: Apple

  CVE-2015-3748: Apple

  CVE-2015-3749: Apple

• WebKit

  Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10.4

  Impacto: um site malicioso poderá originar pedidos de texto simples a uma origem em HTTP Strict Transport Security

  Descrição: existia um problema em que os pedidos de relatório da Política de segurança de conteúdos não cumpriam a política da HTTP Strict Transport Security. Este problema foi resolvido através de uma melhor aplicação da HTTP Strict Transport Security.

  ID CVE

  CVE-2015-3750: Muneaki Nishimura (nishimunea)

• WebKit

  Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10.4

  Impacto: o carregamento de imagens poderá violar a diretiva de Política de segurança de conteúdos de um site

  Descrição: existia um problema em que os sites com controlos de vídeo carregavam imagens incorporadas em elementos de objeto em violação da diretiva de Política de segurança de conteúdos do site. Este problema foi resolvido através de uma melhor aplicação da Política de segurança de conteúdos.

  ID CVE

  CVE-2015-3751: Muneaki Nishimura (nishimunea)

• WebKit

  Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10.4

  Impacto: os pedidos de relatório da Política de segurança de conteúdos poderão originar a divulgação de cookies

  Descrição: existiam dois problemas através dos quais eram adicionados cookies aos pedidos de relatório da Política de segurança de conteúdos. Os cookies eram enviados em pedidos de relatório de origens cruzadas, em violação da norma. Os cookies definidos durante a navegação normal eram enviados na navegação privada. Estes problemas foram resolvidos através de uma melhor gestão de cookies.

  ID CVE

  CVE-2015-3752: Muneaki Nishimura (nishimunea)

• Tela do WebKit

  Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10.4

  Impacto: um site malicioso poderá retirar dados de imagem de origens cruzadas

  Descrição: as imagens obtidas através de URL que redirecionam para um recurso data:image podiam ter sido retiradas a partir de origens cruzadas. Este problema foi resolvido através do rastreio melhorado do registo da tela.

  ID CVE

  CVE-2015-3753: Antonio Sanso e Damien Antipa da Adobe

• Carregamento de páginas do WebKit

  Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10.4

  Impacto: o estado da autenticação em cache poderá revelar o histórico de navegação privada

  Descrição: existia um problema de armazenamento em cache da autenticação de HTTP. As credenciais introduzidas no modo de navegação privada eram transportadas para a navegação normal, o que revelava partes do histórico de navegação privada do utilizador. O problema foi resolvido através de uma melhor restrição de armazenamento em cache.

  ID CVE

  CVE-2015-3754: Dongsung Kim (@kid1ng)

• Modelo de processamento do WebKit

  Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10.4

  Impacto: visitar um site malicioso poderá originar uma falsificação da interface de utilizador

  Descrição: navegar num URL inválido poderá ter permitido que um site malicioso apresentasse um URL aleatório. O problema foi resolvido através de um melhor processamento do URL.

  ID CVE

  CVE-2015-3755: xisigr da Tencent's Xuanwu Lab