Informazioni sui contenuti di sicurezza di Safari 4.0.3
In questo documento vengono descritti i contenuti di sicurezza di Safari 4.0.3.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple."
Safari 4.0.3
CoreGraphics
CVE-ID: CVE-2009-2468
Disponibile per: Windows XP e Vista
Impatto: l'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario
Descrizione: si verifica un overflow del buffer della memoria heap nella creazione di stringhe di testo lunghe. L’accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Ringraziamo Will Drewry di Google Inc. per aver segnalato questo problema.
ImageIO
CVE-ID: CVE-2009-2188
Disponibile per: Windows XP e Vista
Impatto: l'apertura di un'immagine pericolosa può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario
Descrizione: si verifica un overflow del buffer nella gestione dei metadati EXIF. La visualizzazione di un di immagine dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti.
Safari
CVE-ID: CVE-2009-2196
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP e Vista
Impatto: un sito web pericoloso potrebbe essere pubblicizzato nella vista Top Sites di Safari
Descrizione: Safari 4 ha introdotto la funzione Top Sites per offrire una panoramica immediata dei siti web preferiti di un utente. Un sito web pericoloso potrebbe promuovere siti arbitrari all'interno della vista Top Sites attraverso azioni automatizzate, agevolando gli attacchi di phishing. Questo problema è stato risolto evitando di includere siti web visitati automaticamente nell'elenco di Top Sites. Nell'elenco di Top Sites verranno inclusi solo i siti web visitati manualmente dall'utente. Nota: in Safari, il rilevamento di siti fraudolenti è abilitato per impostazione predefinita. Sin dalla sua introduzione, i siti fraudolenti non vengono mostrati nella vista Top Sites. Ringraziamo Inferno of SecureThoughts.com per aver segnalato il problema.
WebKit
CVE-ID: CVE-2009-2195
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP e Vista
Impatto: l'accesso a un sito web dannoso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario
Descrizione: si verifica un overflow del buffer nell'analisi dei numeri floating point di WebKit. L’accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Ringraziamo Apple.
WebKit
CVE-ID: CVE-2009-2200
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP e Vista
Impatto: l'apertura di un sito web pericoloso e la selezione di “Vai” nella finestra di dialogo di un plugin pericoloso può provocare la divulgazione di informazioni sensibili
Descrizione: WebKit consente all'attributo pluginspage dell'elemento 'embed' di fare riferimento agli URL. Cliccando su “Vai” nella finestra di dialogo che viene visualizzata quando si fa riferimento a un plugin sconosciuto, si verrà reindirizzati all'URL indicato nell'attributo pluginspage. Ciò potrebbe consentire a un utente malintenzionato collegato in remoto di lanciare URL in Safari e divulgare informazioni sensibili. Questo aggiornamento risolve il problema restringendo lo schema URL di pluginspage a http or https. Ringraziamo Alexios Fakos di n.runs AG per aver segnalato questo problema.
WebKit
CVE-ID: CVE-2009-2199
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP e Vista
Impatto: un URL contenente caratteri simili può essere utilizzato per mascherare un sito web
Descrizione: i caratteri International Domain Name (IDN) e Unicode incorporati in Safari potrebbero essere usati per creare un URL che contiene caratteri simili, che possono essere usati in un sito web dannoso per indirizzare l'utente a un sito contraffatto che appare visivamente come un dominio legittimo. Questo aggiornamento risolve il problema integrando la lista di WebKit dei caratteri simili noti. I caratteri simili sono resi in Punycode nella barra degli indirizzi. Ringraziamo Chris Weber di Casaba Security, LLC per aver segnalato il problema.
Importante: le informazioni sui prodotti non realizzati da Apple vengono fornite solo a scopo informativo e non costituiscono raccomandazione né approvazione da parte di Apple. Per ulteriori informazioni, contatta il fornitore.