Informazioni sul contenuto di sicurezza di Safari 9

In questo documento viene descritto il contenuto di sicurezza di Safari 9.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web Sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta Aggiornamenti di sicurezza Apple.

Safari 9

  • Safari

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: l'accesso a un sito web pericoloso può causare lo spoofing dell'interfaccia utente.

    Descrizione: diverse incoerenze dell'interfaccia utente possono consentire a un sito web pericoloso di visualizzare un URL arbitrario. Questi problemi vengono risolti attraverso una migliore logica di visualizzazione degli URL.

    ID CVE

    CVE-2015-5764: Antonio Sanso (@asanso) di Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski tramite Secunia, Masato Kinugawa

  • Download di Safari

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: la cronologia della quarantena di LaunchServices può consentire la visualizzazione della cronologia di navigazione.

    Descrizione: l'accesso alla cronologia della quarantena di LaunchServices può consentire la visualizzazione della cronologia di navigazione basata sui download dei file. Questo problema viene risolto attraverso una migliore eliminazione della cronologia della quarantena.

  • Estensioni di Safari

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: la comunicazione locale tra le estensioni di Safari e le app associate può essere compromessa.

    Descrizione: la comunicazione locale tra le estensioni di Safari come i gestori delle password e le relative app native associate può essere compromessa da un'altra app nativa. Questo problema viene risolto attraverso un nuovo canale per le comunicazioni autenticate tra le estensioni di Safari e le app associate.

  • Estensioni di Safari

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: le estensioni di Safari possono essere sostituite sul disco.

    Descrizione: un'estensione di Safari convalidata e installata dall'utente può essere sostituita sul disco senza inviare una richiesta all'utente. Questo problema viene risolto attraverso una migliore convalida delle estensioni.

    CVE-ID

    CVE-2015-5780: Ben Toms di macmule.com

  • Navigazione sicura di Safari

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: la navigazione su un indirizzo IP di un noto sito web pericoloso può non attivare un avviso di sicurezza.

    Descrizione: la funzione di navigazione sicura di Safari non avvisa gli utenti quando accedono a noti siti web pericolosi tramite i relativi indirizzi IP. Questo problema viene risolto attraverso un migliore rilevamento dei siti pericolosi.

    Rahul M (@rahulmfg) di TagsDock

  • WebKit

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: le immagini caricate parzialmente possono esfiltrare i dati tra le origini.

    Descrizione: si verifica una condizione critica nella convalida delle origini delle immagini. Questo problema viene risolto attraverso una migliore convalida delle origini delle risorse.

    ID CVE

    CVE-2015-5788: Apple

  • WebKit

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: sono stati rilevati diversi problemi di danneggiamento della memoria in WebKit. Questi problemi sono stati risolti mediante una migliore gestione della memoria.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5791: Apple

    CVE-2015-5792: Apple

    CVE-2015-5793: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5798: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5808: Joe Vennix

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5814: Apple

    CVE-2015-5815: Apple

    CVE-2015-5816: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

    CVE-2015-5822: Mark S. Miller di Google

    CVE-2015-5823: Apple

  • WebKit

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: un malintenzionato può essere in grado di creare cookie imprevisti per un sito web.

    Descrizione: WebKit accetta l'impostazione di più cookie nell'API document.cookie. Questo problema viene risolto attraverso una migliore analisi.

    ID CVE

    CVE-2015-3801: Erling Ellingsen di Facebook

  • WebKit

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: l'API Performance può consentire a un sito web pericoloso di divulgare la cronologia di navigazione, l'attività di rete e i movimenti del mouse.

    Descrizione: l'API Performance di WebKit può consentire a un sito web pericoloso di divulgare la cronologia di navigazione, l'attività di rete e i movimenti del mouse misurando il tempo. Questo problema viene risolto limitando la risoluzione del tempo.

    ID CVE

    CVE-2015-5825: Yossi Oren et al. di Columbia University's Network Security Lab

  • WebKit

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: l'accesso a un sito web pericoloso può causare una composizione imprevista.

    Descrizione: si verifica un problema nella gestione degli URL tel://, facetime:// e facetime-audio://. Questo problema viene risolto mediante una migliore gestione degli URL.

    ID CVE

    CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

  • CSS di WebKit

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: un sito web pericoloso può esfiltrare la multiorigine dei dati.

    Descrizione: Safari consente il caricamento dei fogli di stile multiorigine con tipi MIME non CSS che possono essere usati per l'esfiltrazione di dati multiorigine. Questo problema viene risolto limitando i tipi MIME per i fogli di stile multiorigine.

    ID CVE

    CVE-2015-5826: filedescriptior, Chris Evans

  • Binding JavaScript di WebKit

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: i riferimenti a oggetti possono essere divulgati tra origini isolate su eventi personalizzati, eventi messaggio ed eventi stato pop.

    Descrizione: un problema di divulgazione di oggetti rompe il limite di isolamento tra origini. Questo problema viene risolto attraverso un migliore isolamento tra le origini.

    ID CVE

    CVE-2015-5827: Gildas

  • Caricamento della pagina di WebKit

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: WebSockets può ignorare l'applicazione della politica per i contenuti misti.

    Descrizione: un problema relativo all'applicazione della politica insufficiente consente a WebSockets di caricare contenuti misti. Questo problema viene risolto estendendo l'applicazione della politica per i contenuti misti a WebSockets.

    Kevin G. Jones di Higher Logic

  • Plugin di WebKit

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

    Impatto: i plugin di Safari possono inviare una richiesta HTTP senza sapere che la richiesta viene reindirizzata.

    Descrizione: l'API dei plugin di Safari non comunica ai plugin che si verifica un reindirizzamento lato server. Questo può causare richieste non autorizzate. Questo problema viene risolto attraverso un migliore supporto API.

    ID CVE

    CVE-2015-5828: Lorenzo Fontana

FaceTime non è disponibile in tutti i Paesi o in tutte le aree geografiche.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: