Informazioni sui contenuti di sicurezza di Safari 4.0.3

In questo documento vengono descritti i contenuti di sicurezza di Safari 4.0.3.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple."

Safari 4.0.3

• CoreGraphics

  CVE-ID: CVE-2009-2468

  Disponibile per: Windows XP e Vista

  Impatto: l'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario

  Descrizione: si verifica un overflow del buffer della memoria heap nella creazione di stringhe di testo lunghe. L’accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Ringraziamo Will Drewry di Google Inc. per aver segnalato questo problema.

• ImageIO

  CVE-ID: CVE-2009-2188

  Disponibile per: Windows XP e Vista

  Impatto: l'apertura di un'immagine pericolosa può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario

  Descrizione: si verifica un overflow del buffer nella gestione dei metadati EXIF. La visualizzazione di un di immagine dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti.

• Safari

  CVE-ID: CVE-2009-2196

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP e Vista

  Impatto: un sito web pericoloso potrebbe essere pubblicizzato nella vista Top Sites di Safari

  Descrizione: Safari 4 ha introdotto la funzione Top Sites per offrire una panoramica immediata dei siti web preferiti di un utente. Un sito web pericoloso potrebbe promuovere siti arbitrari all'interno della vista Top Sites attraverso azioni automatizzate, agevolando gli attacchi di phishing. Questo problema è stato risolto evitando di includere siti web visitati automaticamente nell'elenco di Top Sites. Nell'elenco di Top Sites verranno inclusi solo i siti web visitati manualmente dall'utente. Nota: in Safari, il rilevamento di siti fraudolenti è abilitato per impostazione predefinita. Sin dalla sua introduzione, i siti fraudolenti non vengono mostrati nella vista Top Sites. Ringraziamo Inferno of SecureThoughts.com per aver segnalato il problema.

• WebKit

  CVE-ID: CVE-2009-2195

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP e Vista

  Impatto: l'accesso a un sito web dannoso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario

  Descrizione: si verifica un overflow del buffer nell'analisi dei numeri floating point di WebKit. L’accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Ringraziamo Apple.

• WebKit

  CVE-ID: CVE-2009-2200

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP e Vista

  Impatto: l'apertura di un sito web pericoloso e la selezione di “Vai” nella finestra di dialogo di un plugin pericoloso può provocare la divulgazione di informazioni sensibili

  Descrizione: WebKit consente all'attributo pluginspage dell'elemento 'embed' di fare riferimento agli URL. Cliccando su “Vai” nella finestra di dialogo che viene visualizzata quando si fa riferimento a un plugin sconosciuto, si verrà reindirizzati all'URL indicato nell'attributo pluginspage. Ciò potrebbe consentire a un utente malintenzionato collegato in remoto di lanciare URL in Safari e divulgare informazioni sensibili. Questo aggiornamento risolve il problema restringendo lo schema URL di pluginspage a http or https. Ringraziamo Alexios Fakos di n.runs AG per aver segnalato questo problema.

• WebKit

  CVE-ID: CVE-2009-2199

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP e Vista

  Impatto: un URL contenente caratteri simili può essere utilizzato per mascherare un sito web

  Descrizione: i caratteri International Domain Name (IDN) e Unicode incorporati in Safari potrebbero essere usati per creare un URL che contiene caratteri simili, che possono essere usati in un sito web dannoso per indirizzare l'utente a un sito contraffatto che appare visivamente come un dominio legittimo. Questo aggiornamento risolve il problema integrando la lista di WebKit dei caratteri simili noti. I caratteri simili sono resi in Punycode nella barra degli indirizzi. Ringraziamo Chris Weber di Casaba Security, LLC per aver segnalato il problema.