Informazioni sul contenuto di sicurezza di Safari 5.1.4

In questo documento viene descritto il contenuto di sicurezza di Safari 5.1.4.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple".

Safari 5.1.4

• Safari

Disponibile per: Windows 7, Vista, XP SP2 o versioni più recenti

Impatto: i caratteri simili di un URL potrebbero essere utilizzati per mascherare un sito web.

Descrizione: il supporto IDN (International Domain Name) in Safari poteva essere utilizzato per creare un URL contenente caratteri simili. Questo poteva essere utilizzato in un sito web per indirizzare l'utente verso un sito fraudolento, ma dall'aspetto simile a un dominio legittimo. Questo problema viene risolto tramite la verifica della validità del nome del dominio. Il problema non interessa i sistemi OS X.

CVE-ID

CVE-2012-0584: Matt Cooley di Symantec

• Safari

Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 o versioni più recenti

Impatto: le pagine web visitate potrebbero essere registrate nella cronologia del browser anche se è attivo Navigazione privata.

Descrizione: Navigazione privata di Safari è progettato per evitare la registrazione di una sessione di navigazione. Le pagine visitate come risultato di un sito utilizzando i metodi JavaScript pushState o replaceState sono registrate nella cronologia del browser anche quando la modalità Navigazione privata è attiva. Questo problema viene risolto non registrando le visite quando è attiva Navigazione privata.

CVE-ID

CVE-2012-0585: Eric Melville di American Express

• WebKit

Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 o versioni più recenti

Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco di scripting cross-site.

Descrizione: si sono verificati diversi problemi di scripting cross-site in WebKit.

CVE-ID

CVE-2011-3881: Sergey Glazunov

CVE-2012-0586: Sergey Glazunov

CVE-2012-0587: Sergey Glazunov

CVE-2012-0588: Jochen Eisinger del Google Chrome Team

CVE-2012-0589: Alan Austin di polyvore.com

• WebKit

Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 o versioni più recenti

Impatto: la visualizzazione di un sito web pericoloso potrebbe portare alla divulgazione dei cookie.

Descrizione: si è verificato un problema di diversa origine in WebKit, che può portare alla divulgazione con origini diverse dei cookie.

CVE-ID

CVE-2011-3887: Sergey Glazunov

• WebKit

Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 o versioni più recenti

Impatto: la visualizzazione di un sito web pericoloso e il trascinamento del contenuto con il mouse potrebbe portare a un attacco di scripting cross-site.

Descrizione: si è verificato un problema di diversa origine in WebKit, che può consentire di trascinare e rilasciare il contenuto da differenti origini.

CVE-ID

CVE-2012-0590: Adam Barth di Google Chrome Security Team

• WebKit

Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 o versioni più recenti

Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: sono stati rilevati diversi problemi di danneggiamento della memoria in WebKit.

CVE-ID

CVE-2011-2825: wushi del team509, collaboratore della Zero Day Initiative di TippingPoint

CVE-2011-2833: Apple

CVE-2011-2846: Arthur Gerkis, miaubiz

CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2011-2854: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2011-2855: Arthur Gerkis, wushi del team509, collaboratore di iDefense VCP

CVE-2011-2857: miaubiz

CVE-2011-2860: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2011-2866: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2011-2867: Dirk Schulze

CVE-2011-2868: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2011-2869: Cris Neckar del Google Chrome Security Team tramite AddressSanitizer

CVE-2011-2870: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2011-2871: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2011-2872: Abhishek Arya (Inferno) e Cris Neckar del Google Chrome Security Team tramite AddressSanitizer

CVE-2011-2873: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2011-2877: miaubiz

CVE-2011-3885: miaubiz

CVE-2011-3888: miaubiz

CVE-2011-3897: pa_kt, collaboratore della Zero Day Initiative di TippingPoint

CVE-2011-3908: Aki Helin di OUSPG

CVE-2011-3909: Google Chrome Security Team (scarybeasts) e Chu

CVE-2011-3928: wushi di team509, collaboratore della Zero Day Initiative di TippingPoint

CVE-2012-0591: miaubiz e Martin Barbella

CVE-2012-0592: Alexander Gavrun, collaboratore della Zero Day Initiative di TippingPoint

CVE-2012-0593: Lei Zhang della comunità di sviluppo Chromium

CVE-2012-0594: Adam Klein della comunità di sviluppo Chromium

CVE-2012-0595: Apple

CVE-2012-0596: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0597: miaubiz

CVE-2012-0598: Sergey Glazunov

CVE-2012-0599: Dmytro Gorbunov di SaveSources.com

CVE-2012-0600: Marshall Greenblatt, Dharani Govindan di Google Chrome, miaubiz, Aki Helin di OUSPG

CVE-2012-0601: Apple

CVE-2012-0602: Apple

CVE-2012-0603: Apple

CVE-2012-0604: Apple

CVE-2012-0605: Apple

CVE-2012-0606: Apple

CVE-2012-0607: Apple

CVE-2012-0608: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0609: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0610: miaubiz, Martin Barbella tramite AddressSanitizer

CVE-2012-0611: Martin Barbella tramite AddressSanitizer

CVE-2012-0612: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0613: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0614: miaubiz, Martin Barbella tramite AddressSanitizer

CVE-2012-0615: Martin Barbella tramite AddressSanitizer

CVE-2012-0616: miaubiz

CVE-2012-0617: Martin Barbella tramite AddressSanitizer

CVE-2012-0618: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0619: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0620: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0621: Martin Barbella tramite AddressSanitizer

CVE-2012-0622: Dave Levin e Abhishek Arya del Google Chrome Security Team

CVE-2012-0623: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0624: Martin Barbella tramite AddressSanitizer

CVE-2012-0625: Martin Barbella

CVE-2012-0626: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0627: Apple

CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0629: Abhishek Arya (Inferno) del Google Chrome Security Team

CVE-2012-0630: Sergio Villar Senin di Igalia

CVE-2012-0631: Abhishek Arya (Inferno) del Google Chrome Security Team

CVE-2012-0632: Cris Neckar del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0633: Apple

CVE-2012-0635: Julien Chaffraix della comunità di sviluppo Chromium, Martin Barbella tramite AddressSanitizer

CVE-2012-0636: Jeremy Apthorp di Google, Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0637: Apple

CVE-2012-0638: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0639: Abhishek Arya (Inferno) del Google Chrome Security Team tramite AddressSanitizer

CVE-2012-0648: Apple

• WebKit

Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 o versioni più recenti

Impatto: i cookie potrebbero essere impostati da siti di terze parti, anche se Safari è configurato per bloccarli.

Descrizione: si è verificato un problema nell'applicazione della politica del cookie. I siti web di terze parti potrebbero non avere i cookie impostati se le preferenze di "Blocca cookie" in Safari sono impostate di default nelle impostazioni "Di sponsor e terze parti".

CVE-ID

CVE-2012-0640: nshah

• WebKit

Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 o versioni più recenti

Impatto: le credenziali di autenticazione HTTP potrebbero essere divulgate inavvertitamente a un altro sito.

Descrizione: se un sito utilizza l'autenticazione HTTP con reindirizzamento a un altro sito, le credenziali di autenticazione potrebbero essere inviate all'altro sito.

CVE-ID

CVE-2012-0647: un ricercatore anonimo