Informazioni sui contenuti di sicurezza di Safari 4.0.5

In questo documento vengono descritti i contenuti di sicurezza di Safari 4.0.5.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo che parla degli aggiornamenti di sicurezza Apple.

Safari 4.0.5

• ColorSync

  CVE-ID: CVE-2010-0040

  Disponibile per: Windows 7, Vista, XP

  Impatto: la visualizzazione di un'immagine pericolosa con un profilo colore incorporato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verifica un overflow dei numeri interi che può causare un overflow del buffer di heap nella gestione delle immagini con un profilo colore incorporato. L'apertura di un'immagine pericolosa con un profilo colore incorporato può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto eseguendo un'ulteriore convalida dei profili colore. Il problema non interessa i sistemi Mac OS X. Ringraziamo Sebastien Renaud del team VUPEN Vulnerability Research per aver segnalato il problema.

• ImageIO

  CVE-ID: CVE-2009-2285

  Disponibile per: Windows 7, Vista, XP

  Impatto: la visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verifica un underflow del buffer nella gestione delle immagini TIFF da parte di ImageIO. La visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso un migliore controllo dei limiti. Per i sistemi Mac OS X 10.6, questo problema è stato risolto in Mac OS X 10.6.2. Per i sistemi Mac OS X 10.5, questo problema è stato risolto con l'aggiornamento di sicurezza 2010-001.

• ImageIO

  CVE-ID: CVE-2010-0041

  Disponibile per: Windows 7, Vista, XP

  Impatto: l'accesso a un sito web pericoloso può causare l'invio di dati dalla memoria di Safari al sito web.

  Descrizione: si verifica un problema relativo all'accesso alla memoria non inizializzata nella gestione delle immagini BMP di ImageIO. L'accesso a un sito web dannoso può comportare l'invio di dati dalla memoria di Safari al sito web. Questo problema è stato risolto grazie a una migliore gestione della memoria e a un'ulteriore convalida delle immagini BMP. Ringraziamo Matthew Jurczyk (j00ru) di Hispasec per aver segnalato il problema.

• ImageIO

  CVE-ID: CVE-2010-0042

  Disponibile per: Windows 7, Vista, XP

  Impatto: l'accesso a un sito web pericoloso può causare l'invio di dati dalla memoria di Safari al sito web.

  Descrizione: si verifica un problema relativo all'accesso alla memoria non inizializzata nella gestione delle immagini TIFF di ImageIO. L'accesso a un sito web dannoso può comportare l'invio di dati dalla memoria di Safari al sito web. Questo problema è stato risolto grazie a una migliore gestione della memoria e a un'ulteriore convalida delle immagini TIFF. Ringraziamo Matthew Jurczyk (j00ru) di Hispasec per aver segnalato il problema.

• ImageIO

  CVE-ID: CVE-2010-0043

  Disponibile per: Windows 7, Vista, XP

  Impatto: l'elaborazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verifica un problema di corruzione della memoria nella gestione delle immagini TIFF. L'elaborazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore gestione della memoria. Ringraziamo Gus Mueller di Flying Meat per aver segnalato il problema.

• PubSub

  CVE-ID: CVE-2010-0044

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 o versioni successive, Mac OS X Server 10.6.1 o versioni successive, Windows 7, Vista, XP

  Impatto: l'accesso o l'aggiornamento di un feed può comportare l'impostazione di un cookie, anche se Safari è configurato per bloccare i cookie.

  Descrizione: so verifica un problema di implementazione nella gestione dei cookie impostati dai feed RSS e Atom. L'accesso o l'aggiornamento di un feed può comportare la configurazione di un cookie, anche se Safari è impostato per bloccare i cookie tramite la preferenza in merito all'accettazione dei cookie. Questo aggiornamento risolve il problema rispettando la preferenza durante l'aggiornamento o la visualizzazione dei feed.

• Safari

  CVE-ID: CVE-2010-0045

  Disponibile per: Windows 7, Vista, XP

  Impatto: l'accesso a un sito web dannoso può portare all'esecuzione di codice arbitrario.

  Descrizione: un problema nella gestione degli schemi URL esterni da parte di Safari può causare l'apertura di un file locale in risposta a un URL rilevato in una pagina web. L'accesso a un sito web pericoloso può provocare l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema attraverso una migliore convalida degli URL esterni. Il problema non interessa i sistemi Mac OS X. Ringraziamo Billy Rios e Microsoft Vulnerability Research (MSVR) per aver segnalato il problema.

• WebKit

  CVE-ID: CVE-2010-0046

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 o versioni successive, Mac OS X Server 10.6.1 o versioni successive, Windows 7, Vista, XP

  Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verifica un problema di corruzione della memoria nella gestione degli argomenti di CSS format() di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto migliorando la gestione degli argomenti di CSS format(). Ringraziamo Robert Swiecki di Google Inc. per aver segnalato il problema.

• WebKit

  CVE-ID: CVE-2010-0047

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 o versioni successive, Mac OS X Server 10.6.1 o versioni successive, Windows 7, Vista, XP

  Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verifica un problema di use-after-free nella gestione dei contenuti di fallback degli elementi HTML. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore tracciamento del riferimento della memoria. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato il problema.

• WebKit

  CVE-ID: CVE-2010-0048

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 o versioni successive, Mac OS X Server 10.6.1 o versioni successive, Windows 7, Vista, XP

  Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verifica un problema di use-after-free nell'analisi dei documenti XML di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore tracciamento del riferimento della memoria. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato il problema.

• WebKit

  CVE-ID: CVE-2010-0049

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 o versioni successive, Mac OS X Server 10.6.1 o versioni successive, Windows 7, Vista, XP

  Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verifica un problema di use-after-free nella gestione di elementi HTML contenenti testo visualizzato da destra a sinistra. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore tracciamento del riferimento della memoria. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato questo problema.

• WebKit

  CVE-ID: CVE-2010-0050

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 o versioni successive, Mac OS X Server 10.6.1 o versioni successive, Windows 7, Vista, XP

  Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verifica un problema di use-after-free nella gestione da parte di WebKit di tag HTML nidificati in modo errato. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore tracciamento del riferimento della memoria. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato questo problema.

• WebKit

  CVE-ID: CVE-2010-0051

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 o versioni successive, Mac OS X Server 10.6.1 o versioni successive, Windows 7, Vista, XP

  Impatto: l'accesso a un sito web dannoso può comportare la divulgazione di informazioni sensibili.

  Descrizione: si verifica un problema di implementazione nella gestione da parte di WebKit delle richieste di fogli di stile multiorigine. L'accesso a un sito web dannoso può rivelare il contenuto di risorse protette su un altro sito web. Questo aggiornamento risolve il problema eseguendo una convalida aggiuntiva sui fogli di stile che vengono caricati durante una richiesta multiorigine.

• WebKit

  CVE-ID: CVE-2010-0052

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 o versioni successive, Mac OS X Server 10.6.1 o versioni successive, Windows 7, Vista, XP

  Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verifica un problema di use-after-free nella gestione delle callback di WebKit per gli elementi HTML. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore tracciamento del riferimento della memoria. Ringraziamo Apple.

• WebKit

  CVE-ID: CVE-2010-0053

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 o versioni successive, Mac OS X Server 10.6.1 o versioni successive, Windows 7, Vista, XP

  Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: Si verifica un problema di use-after-free nel rendering di contenuti con una proprietà di visualizzazione CSS impostata su “run-in”. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore tracciamento del riferimento della memoria. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato questo problema.

• WebKit

  CVE-ID: CVE-2010-0054

  Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 o versioni successive, Mac OS X Server 10.6.1 o versioni successive, Windows 7, Vista, XP

  Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verifica un problema di use-after-free nella gestione degli elementi di immagini HTML. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore tracciamento del riferimento della memoria. Ringraziamo Apple.