Informazioni sui contenuti di sicurezza di Safari 3.2
In questo documento vengono descritti i contenuti di sicurezza di Safari 3.2.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo “Come usare la chiave PGP per la sicurezza dei prodotti Apple”.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta la sezione “Aggiornamenti di sicurezza Apple”.
Safari 3.2
Safari
CVE-ID: CVE-2005-2096
Disponibile per: Windows XP o Vista
Impatto: diverse vulnerabilità in zlib 1.2.2.
Descrizione: si verificano diverse vulnerabilità in zlib 1.2.2, la più grave delle quali può portare a un'interruzione del servizio. Questo aggiornamento risolve i problemi effettuando l'aggiornamento a zlib 1.2.3. Questi problemi non interessano i sistemi Mac OS X. Ringraziamo Robbie Joosten di bioinformatics@school e David Gunnells della University of Alabama a Birmingham per aver segnalato questi problemi.
Safari
CVE-ID: CVE-2008-1767
Disponibile per: Windows XP o Vista
Impatto: l'elaborazione di un documento XML può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di overflow del buffer heap nella librerai libxslt. La visualizzazione di una pagina HTML pericolosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Ulteriori informazioni sulla patch applicata sono disponibili tramite il sito web http://xmlsoft.org/XSLT/ Questo problema non interessa i sistemi Mac OS X che hanno applicato l'aggiornamento di sicurezza 2008-007. Ringraziamo Anthony de Almeida Lopes of Outpost24 AB e Chris Evans di Google Security Team per aver segnalato questo problema.
Safari
CVE-ID: CVE-2008-3623
Disponibile per: Windows XP o Vista
Impatto: l'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.
Descrizione: si verifica un problema di overflow del buffer heap nella gestione degli spazi colore da parte di CoreGraphics. La visualizzazione di un di immagine dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Ringraziamo Apple.
Safari
CVE-ID: CVE-2008-2327
Disponibile per: Windows XP o Vista
Impatto: l'accesso a un'immagine TIFF pericolosa può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di accesso alla memoria non inizialzzata nella gestione da parte di libTIFF di immagini TIFF con codifica LZW. La visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema attraverso una corretta inizializzazione della memoria e un'ulteriore convalida delle immagini TIFF. Questo problema è stato risolto in sistemi con Mac OS X 10.5.5 o versioni successive e in sistemi con Mac OS X 10.4.11 che hanno applicato l'aggiornamento di sicurezza 2008-006. Ringraziamo Apple.
Safari
CVE-ID: CVE-2008-2332
Disponibile per: Windows XP o Vista
Impatto: l'accesso a un'immagine TIFF pericolosa può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione di immagini TIFF da parte di ImageIO. La visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando l'elaborazione delle immagini TIFF. Questo problema è stato risolto in sistemi con Mac OS X 10.5.5 o versioni successive e in sistemi con Mac OS X 10.4.11 che hanno applicato l'aggiornamento di sicurezza 2008-006. Ringraziamo Robert Swiecki di Google Security Team per aver segnalato questo problema.
Safari
CVE-ID: CVE-2008-3608
Disponibile per: Windows XP o Vista
Impatto: la visualizzazione di una grande immagine JPEG pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione da parte di ImageIO di profili ICC incorporati nelle immagini JPEG. La visualizzazione di una grande immagine JPEG pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando l'elaborazione de profili ICC. Questo problema è stato risolto in sistemi con Mac OS X 10.5.5 o versioni successive e in sistemi con Mac OS X 10.4.11 che hanno applicato l'aggiornamento di sicurezza 2008-006. Ringraziamo Apple.
Safari
CVE-ID: CVE-2008-3642
Disponibile per: Windows XP o Vista
Impatto: la visualizzazione di un'immagine pericolosa può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer nella gestione di immagini con un profilo ICC incorporato. L'apertura di un'immagine pericolosa con un profilo ICC incorporato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema eseguendo un'ulteriore convalida dei profili ICC nelle immagini. Questo problema non interessa i sistemi con Mac OS X che hanno applicato l'aggiornamento di sicurezza 2008-007. Ringraziamo Apple.
Safari
CVE-ID: CVE-2008-3644
Disponibile per: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP o Vista
Impatto: delle informazioni riservate potrebbero essere rivelate a un utente di console locale.
Descrizione: la disabilitazione del completamente automatico in un campo del modulo può non impedire che i dati contenuti nel campo non vengano memorizzati nella cache della pagina del browser. Ciò può comportare la divulgazione di informazioni riservate a un utente locale. Questo aggiornamento risolve il problema cancellando correttamente i dati del modulo. Ringraziamo un ricercatore anonimo per aver segnalato questo problema.
WebKit
CVE-ID: CVE-2008-2303
Disponibile per: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP o Vista
Impatto: l'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.
Descrizione: un problema di signedness nella gestione da parte di Safari degli indici degli insiemi di Java Script potrebbe causare un accesso alla memoria non nei limiti. L'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema eseguendo un'ulteriore convalida degli indici degli insiemi di Java Script. Ringraziamo SkyLined di Google per aver segnalato il problema.
WebKit
CVE-ID: CVE-2008-2317
Disponibile per: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP o Vista
Impatto: l'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione degli elementi fogli di stile da parte di WebCore. L'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema attraverso una migliore raccolta degli scarti. Ringraziamo un ricercatore anonimo che collabora con Zero Day Initiative di TippingPoint per aver segnalato il problema.
WebKit
CVE-ID: CVE-2008-4216
Disponibile per: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP o Vista
Impatto: l'accesso a un sito web dannoso può comportare la divulgazione di informazioni sensibili.
Descrizione: l'interfaccia dei plugin di WebKit non impedisce ai plugin di aprire URL locali. L'accesso a un sito web pericoloso può consentire a un utente malintenzionato collegato in remoto di aprire file locali in Safari e ciò può comportare la divulgazione di informazioni sensibili. Questo aggiornamento risolve il problema limitando i tipi di URL che possono essere aperti tramite l'interfaccia dei plugin. Ringraziamo Billy Rios di Microsoft e Nitesh Dhanjani di Ernst & Young per aver segnalato questo problema.
Importante: il riferimento a siti web e prodotti di terze parti ha scopo puramente informativo e non costituisce sponsorizzazione né consiglio. Apple non si assume alcuna responsabilità in relazione alla selezione, alle prestazioni o all'utilizzo di informazioni o prodotti trovati su siti web di terze parti. Apple fornisce questo tipo di informazioni solo per comodità degli utenti. Apple non ha testato le informazioni che si trovano su tali siti e non ne rappresenta in alcun modo l'esattezza e l'affidabilità. Esistono rischi connessi all'utilizzo di informazioni o prodotti trovati su internet e Apple non si assume alcuna responsabilità al riguardo. Ricordiamo che i siti di terze parti sono indipendenti da Apple e che Apple non ha alcun controllo sui contenuti di tali siti web. Per ulteriori informazioni, contatta il fornitore.