Informazioni sul contenuto di sicurezza di Safari 5.0.2 e Safari 4.1.2
In questo documento viene descritto il contenuto di sicurezza di Safari 5.0.2 e Safari 4.1.2.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta l'articolo che parla degli aggiornamenti di sicurezza Apple.
5.0.2 Safari e Safari 4.1.2
Safari
CVE-ID: CVE-2010-1805
Disponibile per: Windows 7, Vista, XP SP2 o versioni successive
Impatto: l'apertura di un file in una directory scrivibile da altri utenti può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema relativo al percorso di ricerca in Safari. Quando viene visualizzata la posizione di un file scaricato, Safari avvia Esplora risorse senza specificare il percorso completo dell'eseguibile. Se si avvia Safari aprendo un file in una directory specifica, quella directory verrà inclusa nel percorso di ricerca. Il tentativo di rivelare la posizione di un file scaricato potrebbe eseguire un'applicazione contenuta in quella directory, che potrebbe causare l'esecuzione di codice arbitrario. Il problema è stato risolto utilizzando un percorso di ricerca esplicito all'avvio di Esplora risorse. Il problema non interessa i sistemi Mac OS X. Ringraziamo Simon Raner di ACROS Security per aver segnalato il problema.
WebKit
CVE-ID: CVE-2010-1807
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive
Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di convalida dell'input nella gestione dei tipi di dati a virgola mobile da parte di WebKit. L’accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Il problema è stato risolto attraverso una migliore convalida dei valori in virgola mobile. Ringraziamo Luke Wagner di Mozilla per aver segnalato il problema.
WebKit
CVE-ID: CVE-2010-1806
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive
Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di tipo use-after-free nella gestione degli elementi da parte di WebKit con uno stile run-in. L’accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore gestione dei puntatori di oggetti. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato il problema.
Importante: le informazioni sui prodotti non realizzati da Apple vengono fornite solo a scopo informativo e non costituiscono raccomandazione né approvazione da parte di Apple. Per ulteriori informazioni, contatta il fornitore.