Sobre o conteúdo de segurança do Safari 9
Este documento descreve o conteúdo de segurança do Safari 9.
Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras atualizações de segurança, consulte Atualizações de segurança da Apple.
Safari 9
Safari
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário
Descrição: várias inconsistências na interface de usuário podem ter permitido a um site malicioso exibir um URL arbitrário. Esses problemas foram solucionados por meio de melhorias na lógica de exibição de URL.
ID de CVE
CVE-2015-5764: Antonio Sanso (@asanso), da Adobe
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa
Downloads do Safari
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: o histórico de quarentena do LaunchServices pode revelar o histórico de navegação
Descrição: o acesso ao histórico de quarentena do LaunchServices pode ter revelado o histórico de navegação com base nos downloads de arquivos. Esse problema foi solucionado por meio de melhorias no apagamento do histórico de quarentena.
Extensões do Safari
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: a comunicação local entre as extensões do Safari e os apps associados pode ter sido comprometida
Descrição: a comunicação local entre as extensões do Safari, como gerenciadores de senha e seus apps associados nativos, pode ser comprometida por outro app nativo. Esse problema foi solucionado por meio de um novo canal de comunicações autenticado entre as extensões do Safari e os apps associados.
Extensões do Safari
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: as extensões do Safari podem ser substituídas no disco
Descrição: uma extensão do Safari instalada pelo usuário e validada podia ser substituída no disco sem a autorização do usuário. Este problema foi resolvido por meio de melhorias na validação de extensões.
ID de CVE
CVE-2015-5780: Ben Toms, da macmule.com
Navegação segura no Safari
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: a navegação para um endereço IP de um site malicioso conhecido pode não ativar um alerta de segurança
Descrição: o recurso de Navegação segura do Safari não alertou os usuários ao acessarem sites maliciosos conhecidos por seus endereços IP. O problema foi resolvido por meio de melhorias na detecção de sites maliciosos.
Rahul M (@rahulmfg), da TagsDock
WebKit
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: imagens carregadas parcialmente podem extrair dados nas origens
Descrição: havia uma condição de corrida na validação das origens de imagens. Esse problema foi solucionado por meio de melhorias na validação das origens de recursos.
ID de CVE
CVE-2015-5788: Apple
WebKit
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: ocorriam diversos problemas de memória corrompida no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.
ID de CVE
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5791: Apple
CVE-2015-5792: Apple
CVE-2015-5793: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5798: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5808: Joe Vennix
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5814: Apple
CVE-2015-5815: Apple
CVE-2015-5816: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
CVE-2015-5822: Mark S. Miller, do Google
CVE-2015-5823: Apple
WebKit
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: um invasor pode criar cookies inesperados para um site
Descrição: o WebKit aceitaria a definição de vários cookies no API document.cookie. Esse problema foi solucionado por meio de melhorias na análise.
ID de CVE
CVE-2015-3801: Erling Ellingsen, do Facebook
WebKit
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: o API Performance pode permitir que um site malicioso vaze o histórico de navegação, atividade de rede e movimentos do mouse
Descrição: o API Performance do WebKit pode ter permitido o vazamento do histórico de navegação, atividade da rede e movimentos do mouse em um site malicioso por meio da medição do tempo. Esse problema foi resolvido limitando a solução de tempo.
ID de CVE
CVE-2015-5825: Yossi Oren et al. do Network Security Lab da Columbia University
WebKit
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: acessar um site malicioso pode resultar em discagem não esperada
Descrição: havia um problema no processamento de URLs tel://, facetime:// e facetime-audio://. Esse problema foi resolvido por meio de melhorias no gerenciamento de URLs.
ID de CVE
CVE-2015-5820: Guillaume Ross, Andrei Neculaesei
CSS do WebKit
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: um site malicioso pode extrair dados de origem cruzada
Descrição: o Safari permitia o carregamento de folhas de estilo de origem cruzada com tipos MIME não CSS, que podiam ser usadas para extrair dados de origem cruzada. Esse problema foi resolvido limitando os tipos MIME para folhas de estilo de origem cruzada.
ID de CVE
CVE-2015-5826: filedescriptior, Chris Evans
Vinculações de JavaScript do WebKit
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: referências de objetos podem causar vazamento entre origens isoladas em eventos personalizados, eventos de mensagem e eventos de estado pop
Descrição: um problema de vazamento de objetos rompeu o limite de isolamento entre origens. Esse problema foi resolvido por meio de melhorias no isolamento entre origens.
ID de CVE
CVE-2015-5827: Gildas
Carregamento de página do WebKit
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: o WebSockets pode ignorar a imposição da política de conteúdo misto
Descrição: um problema de imposição insuficiente de política permitia ao WebSockets carregar conteúdo misto. Esse problema foi resolvido estendendo a imposição da política de conteúdo misto para o WebSockets.
Kevin G. Jones, da Higher Logic
Plug-ins do WebKit
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11
Impacto: os plug-ins do Safari podiam enviar uma solicitação HTTP sem saber que a solicitação foi redirecionada
Descrição: o API de plug-ins do Safari não comunicava aos plug-ins que havia ocorrido um redirecionamento por parte do servidor. Isso podia levar a solicitações não autorizadas. Esse problema foi resolvido por meio de melhorias no suporte de API.
ID de CVE
CVE-2015-5828: Lorenzo Fontana
O FaceTime não está disponível em todos os países ou regiões.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.