Lingua

Informazioni sul contenuto di sicurezza di Safari 6

In questo documento viene descritto il contenuto di sicurezza di Safari 6.

Per proteggere i propri clienti, Apple non divulga né contesta o conferma informazioni su alcun problema relativo alla sicurezza, finché non è stata eseguita un'indagine approfondita e non sono stati resi disponibili i necessari aggiornamenti e correzioni della versione. Per ulteriori informazioni consulta il sito Web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Ove possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni aggiuntive sugli aggiornamenti di sicurezza, consulta l'articolo "Aggiornamenti di sicurezza Apple".

Safari 6.0

  • Safari

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site

    Descrizione: esisteva un problema di scripting cross site nella gestione degli URL del feed://. Questo aggiornamento rimuove la gestione degli URL del feed://.

    ID CVE

    CVE-2012-0678: Masato Kinugawa

  • Safari

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: l'accesso a un sito pericoloso potrebbe causare l'invio dei file del sistema dell'utente a un server remoto

    Descrizione: esisteva un problema di controllo dell'accesso nella gestione degli URL del feed://. Questo aggiornamento rimuove la gestione degli URL del feed://.

    ID CVE

    CVE-2012-0679: Aaron Sigel di vtty.com

  • Safari

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: le password potrebbero autocompletarsi anche quando il sito specifica che l'autocompletamento dovrebbe essere disattivato

    Descrizione: degli elementi di input della password con l'attributo di autocompletamento impostato su "off" venivano autocompletati. Questo aggiornamento risolve il problema con la gestione migliorata dell'attributo di autocompletamento.

    ID CVE

    CVE-2012-0680: Dan Poltawski di Moodle

  • Download di Safari

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: l'apertura di file pericolosi su determinati siti Web può causare un attacco allo scripting cross-site.

    Descrizione: esisteva un problema nel supporto di Safari per il valore 'attachment' dell'intestazione Content-Disposition HTTP. impiegata da molti siti Web per utilizzare file che sono stati caricati sul sito da terze parti, come ad esempio gli allegati di applicazioni e-mail basate sul Web. Qualsiasi script presente in file forniti con questo valore di intestazione potrebbe essere eseguito come se il file fosse stato utilizzato in linea, con accesso completo alle altre risorse sul server di origine. Questo problema viene risolto scaricando le risorse fornite con questa intestazione anziché visualizzarle in linea.

    ID CVE

    CVE-2011-3426: Mickey Shkatov di laplinker.com, Kyle Osborn, Hidetake Jo in Microsoft e Microsoft Vulnerability Research (MSVR)

  • WebKit

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: esistevano vari problemi di danneggiamento della memoria in WebKit. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2011-3016: miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: wushi di team509 sta lavorando con iDefense VCP, Arthur Gerkis

    CVE-2011-3036: miaubiz

    CVE-2011-3037: miaubiz

    CVE-2011-3038: miaubiz

    CVE-2011-3039: miaubiz

    CVE-2011-3040: miaubiz

    CVE-2011-3041: miaubiz

    CVE-2011-3042: miaubiz

    CVE-2011-3043: miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: miaubiz

    CVE-2011-3053: miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: miaubiz

    CVE-2011-3064: Atte Kettunen di OUSPG

    CVE-2011-3068: miaubiz

    CVE-2011-3069: miaubiz

    CVE-2011-3071: pa_kt sta lavorando con Zero Day Initiative di HP

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Slawomir Blazek

    CVE-2011-3075: miaubiz

    CVE-2011-3076: miaubiz

    CVE-2011-3078: Martin Barbella del Google Chrome Security Team

    CVE-2011-3081: miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: Skylined del Google Chrome Security Team, miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: miaubiz

    CVE-2011-3966: Aki Helin di OUSPG

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: Apple Product Security

    CVE-2012-0683: Dave Mandelin di Mozilla

    CVE-2012-1520: Martin Barbella del Google Chrome Security Team utilizza AddressSanitizer, Jose A. Vazquez di spa-s3c.blogspot.com sta lavorando con iDefense VCP

    CVE-2012-1521: Skylined del Google Chrome Security Team, Jose A. Vazquez di spa-s3c.blogspot.com sta lavorando con iDefense VCP

    CVE-2012-3589: Dave Mandelin di Mozilla

    CVE-2012-3590: Apple Product Security

    CVE-2012-3591: Apple Product Security

    CVE-2012-3592: Apple Product Security

    CVE-2012-3593: Apple Product Security

    CVE-2012-3594: miaubiz

    CVE-2012-3595: Martin Barbella di Google Chrome Security

    CVE-2012-3596: Skylined del Google Chrome Security Team

    CVE-2012-3597: Abhishek Arya del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3599: Abhishek Arya del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3600: David Levin della community di sviluppo di Chromium

    CVE-2012-3603: Apple Product Security

    CVE-2012-3604: Skylined del Google Chrome Security Team

    CVE-2012-3605: Cris Neckar del Google Chrome Security team

    CVE-2012-3608: Skylined del Google Chrome Security Team

    CVE-2012-3609: Skylined del Google Chrome Security Team

    CVE-2012-3610: Skylined del Google Chrome Security Team

    CVE-2012-3611: Apple Product Security

    CVE-2012-3615: Stephen Chenney della community di sviluppo di Chromium

    CVE-2012-3618: Abhishek Arya del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3620: Abhishek Arya del Google Chrome Security Team

    CVE-2012-3625: Skylined del Google Chrome Security Team

    CVE-2012-3626: Apple Product Security

    CVE-2012-3627: Skylined e Abhishek Arya del Google Chrome Security Team

    CVE-2012-3628: Apple Product Security

    CVE-2012-3629: Abhishek Arya del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3630: Abhishek Arya del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3631: Abhishek Arya del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3633: Martin Barbella del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3634: Martin Barbella del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3635: Martin Barbella del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3636: Martin Barbella del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3637: Martin Barbella del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3638: Martin Barbella del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3639: Martin Barbella del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3640: miaubiz

    CVE-2012-3641: Slawomir Blazek

    CVE-2012-3642: miaubiz

    CVE-2012-3644: miaubiz

    CVE-2012-3645: Martin Barbella del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3646: Julien Chaffraix della community di sviluppo di Chromium, Martin Barbella del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3653: Martin Barbella del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3655: Skylined del Google Chrome Security Team

    CVE-2012-3656: Abhishek Arya del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3661: Apple Product Security

    CVE-2012-3663: Skylined del Google Chrome Security Team

    CVE-2012-3664: Thomas Sepez della community di sviluppo di Chromium

    CVE-2012-3665: Martin Barbella del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3666: Apple

    CVE-2012-3667: Trevor Squires di propaneapp.com

    CVE-2012-3668: Apple Product Security

    CVE-2012-3669: Apple Product Security

    CVE-2012-3670: Abhishek Arya del Google Chrome Security Team sta utilizzando AddressSanitizer, Arthur Gerkis

    CVE-2012-3674: Skylined del Google Chrome Security Team

    CVE-2012-3678: Apple Product Security

    CVE-2012-3679: Chris Leary di Mozilla

    CVE-2012-3680: Skylined del Google Chrome Security Team

    CVE-2012-3681: Apple

    CVE-2012-3682: Adam Barth del Google Chrome Security Team

    CVE-2012-3683: wushi di team509 collaboratore di iDefense VCP

    CVE-2012-3686: Robin Cao di Torch Mobile (Pechino)

  • WebKit

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: trascinare e rilasciare il testo selezionato in una pagina Web potrebbe comportare la diffusione di informazioni cross-site

    Descrizione: esisteva un problema cross-origin nella gestione degli eventi di trascinamento e rilascio. Questo problema viene risolto migliorando il tracking delle origini.

    ID CVE

    CVE-2012-3689: David Bloom di Cue

  • WebKit

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: trascinare e rilasciare il testo selezionato in una pagina Web potrebbe causare l'invio di file del sistema dell'utente a un server remoto

    Descrizione: esisteva un problema di controllo dell'accesso nella gestione di eventi di trascinamento e rilascio. Questo problema viene risolto migliorando il tracking delle origini.

    ID CVE

    CVE-2012-3690: David Bloom di Cue

  • WebKit

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la diffusione di informazioni cross-site

    Descrizione: esisteva un problema cross-origin nella gestione dei valori della proprietà del CSS. Questo problema viene risolto migliorando il tracking delle origini.

    ID CVE

    CVE-2012-3691: Apple

  • WebKit

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: un sito Web pericoloso potrebbe essere in grado di sostituire i contenuti di un iframe in un altro sito

    Descrizione: esisteva un problema cross-origin nella gestione degli iframe nelle finestre popup. Questo problema viene risolto migliorando il tracking delle origini.

    ID CVE

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la diffusione di informazioni cross-site

    Descrizione: esisteva un problema cross-origin nella gestione degli identificatori di iframe e frammenti. Questo problema viene risolto migliorando il tracking delle origini.

    ID CVE

    CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt e Dan Boneh dello Stanford University Security Laboratory

  • WebKit

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: i caratteri simili di un URL possono essere utilizzati per mascherare un sito Web

    Descrizione: il supporto IDN (International Domain Name)e i caratteri Unicode integrati in Safari potrebbero essere stati utilizzati per creare un URL che contiene caratteri simili. Tali caratteri potrebbero essere stati utilizzati in un sito Web pericoloso per indirizzare l'utente verso un sito fraudolento, ma dall'aspetto simile a un dominio legittimo. Questo problema viene risolto inserendo nell'elenco di WebKit i caratteri simili noti. I caratteri simili sono visualizzati in Punycode nella barra dell'indirizzo.

    ID CVE

    CVE-2012-3693: Matt Cooley di Symantec

  • WebKit

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: trascinare e rilasciare un file in Safari potrebbe rivelare il percorso del filesystem del file per il sito Web

    Descrizione: esisteva un problema di diffusione informazioni nella gestione dei file trascinati. Questo problema viene risolto attraverso la gestione migliorata dei file trascinati.

    ID CVE

    CVE-2012-3694: Daniel Cheng di Google, Aaron Sigel di vtty.com

  • WebKit

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site

    Descrizione: esisteva un problema di canonicalizzazione nella gestione degli URL. Ciò potrebbe aver comportato lo scripting cross-site in siti che utilizzano la proprietà location.href. Questo problema viene risolto attraverso la canonicalizzazione migliorata degli URL.

    ID CVE

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: l'accesso a un sito pericoloso potrebbe comportare una divisione della richiesta HTTP

    Descrizione: esisteva un problema di immissione intestazione nella gestione di WebSockets. Questo problema viene risolto attraverso la sanitizzazione migliorata di WebSockets URI.

    ID CVE

    CVE-2012-3696: David Belcher del BlackBerry Security Incident Response Team

  • WebKit

    Disponibile per: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impatto: un sito pericoloso potrebbe essere in grado di corrompere il valore nella barra degli URL

    Descrizione: esisteva un problema di gestione dello stato nella gestione della cronologia della sessione. Le navigazioni a un frammento della pagina corrente potrebbero causare, in Safari, la visualizzazione di informazioni non corrette nella barra degli URL. Questo problema viene risolto attraverso una sessione migliorata del tracciamento dello stato.

    ID CVE

    CVE-2011-2845: Jordi Chancel

  • WebKit

    Disponibile per: OS X Lion v10.7.4, Lion Server v10.7.4

    Impatto: un'entità di attacco potrebbe essere in grado di aggirare la sandbox e accedere ai file a cui anche l'utente ha accesso

    Descrizione: esisteva un problema di controllo dell'accesso nella gestione degli URL del file. Un'entità di attacco che ottiene un'esecuzione di codice arbitrario in un WebProcess di Safari potrebbe essere in grado di aggirare la sandbox e accedere ai file a cui l'utente che sta eseguendo Safari ha accesso. Questo problema viene risolto attraverso la gestione migliorata degli URL dei file.

    ID CVE

    CVE-2012-3697: Aaron Sigel di vtty.com

  • WebKit

    Disponibile per: OS X Lion v10.7.4, Lion Server v10.7.4

    Impatto: l'accesso a un sito pericoloso potrebbe comportare la diffusione di contenuti della memoria

    Descrizione: esisteva un problema di accesso alla memoria non inizializzata nella gestione delle immagini SVG. Questo problema viene risolto attraverso una migliore inizializzazione della memoria.

    ID CVE

    CVE-2012-3650: Apple

Importante: Le citazioni di siti Web e prodotti di terze parti sono soltanto a scopo informativo e non costituiscono né una approvazione, né una raccomandazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all’utilizzo di informazioni o prodotti reperibili presso i siti Web di terze parti. Apple fornisce queste informazioni solo per comodità dei propri utenti. Apple non ha verificato le informazioni reperibili su questi siti e non esprime alcuna opinione in merito alla loro precisione o affidabilità. Esistono rischi inerenti l’utilizzo di informazioni o prodotti reperibili in Internet e Apple non si assume alcuna responsabilità al riguardo. Qualsiasi sito di terze parti è indipendente da Apple e Apple non esercita alcun controllo sul contenuto di tali siti Web. Per ulteriori informazioni, si prega di contattare il produttore.

Ultima modifica: 3-ago-2012
Utile?
No
  • Last Modified: 3-ago-2012
  • Article: HT5400
  • Views:

    589
  • Rating:
    • 100.0

    (1 risposte)

Informazioni aggiuntive di supporto al prodotto