Informazioni sul contenuto di sicurezza di Safari 3 Beta Update 3.0.3

Questo documento descrive l'aggiornamento di sicurezza Safari 3 Beta Update 3.0.3, che può essere scaricato e installato da Aggiornamento software o tramite Apple Downloads.

Per tutelare gli utenti Apple non rivela, discute né conferma eventuali problemi legati alla sicurezza fino all'effettuazione dell'analisi completa e alla disponibilità di eventuali patch o release. Per ulteriori informazioni sulla sicurezza dei prodotti Apple visita il sito web Sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi "Utilizzo della chiave PGP di sicurezza per i prodotti Apple".

Ove possibile, per ulteriori informazioni vengono utilizzati gli ID CVE per i riferimenti ai punti vulnerabili.

Per informazioni su altri aggiornamenti per la sicurezza leggi "Aggiornamenti di sicurezza Apple".
 

Safari 3 Beta Update 3.0.3

• Safari

  CVE-ID: CVE-2007-3743

  Disponibile per: Windows XP o Vista

  Impatto: l'aggiunta di segnalibri può portare alla chiusura inaspettata delle applicazioni o all'esecuzione di codice arbitrario

  Descrizione: la gestione dei segnalibri in Safari presenta un problema di vulnerabilità dello stack buffer overflow. Consentendo all'utente di aggiungere un segnalibro dal titolo estremamente lungo, un malintenzionato può attivare il problema, con successiva chiusura dell'applicazione o esecuzione di codice arbitrario. Questo aggiornamento risolve il problema grazie all'esecuzione dei controlli dei limiti sul buffer. Il problema non ha effetto sui sistemi Mac OS X.

• WebKit

  CVE-ID: CVE-2007-2408

  Disponibile per: Mac OS X v10.4.9 o successive, Windows XP o Vista

  Impatto: visitare un sito web pericoloso può consentire il caricamento e l'esecuzione di applet Java anche quando Java non è attivo

  Descrizione: Safari offre l'opzione "Attiva Java"; deselezionandola, il caricamento degli applet Java dovrebbe essere bloccato. Per impostazione predefinita è consentito il caricamento degli Applet Java. La navigazione in una pagina web pericolosa può consentire il caricamento di un applet Java senza verifica delle preferenze. Questo aggiornamento risolve il problema con un controllo più rigoroso dell'opzione "Attiva Java". Ringraziamo Scott Wilde per aver riferito questo problema.

• WebKit

  CVE-ID: CVE-2007-3742

  Disponibile per: Mac OS X v10.4.9 o successive, Windows XP o Vista

  Impatto: i caratteri simili di un URL possono essere utilizzati per mascherare un sito web

  Descrizione: il supporto di IDN (International Domain Name) e dei caratteri Unicode incorporati in Safari può essere sfruttato per creare un URL che contiene caratteri simili Questi ultimi possono essere utilizzati in un sito web pericoloso, per indirizzare l'utente verso un sito fraudolento, ma di aspetto visivo simile a un dominio legittimo. Questo aggiornamento risolve il problema grazie alla più attenta verifica dei nomi di dominio.

• WebKit

  CVE-ID: CVE-2007-3944

  Disponibile per: Mac OS X v10.4.9 o successive, Windows XP o Vista

  Impatto: la visualizzazione di una pagina web pericolosa può comportare l'esecuzione di codice arbitrario.

  Descrizione: si verificano episodi di overflow del buffer della memoria heap nella libreria PCRE (Perl Compatible Regular Expressions) utilizzata dal motore JavaScript in Safari. Consentendo a un utente di visitare una pagina web pericolosa, un malintenzionato può attivare il problema e generare l'esecuzione di codice arbitrario. L'aggiornamento risolve il problema grazie all'esecuzione di ulteriori convalide delle espressioni regolari di JavaScript. Ringraziamo Charlie Miller e Jake Honoroff di Independent Security Evaluators per aver riferito questi problemi.