Informazioni sul contenuto di sicurezza di Safari 6
In questo documento viene descritto il contenuto di sicurezza di Safari 6.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".
Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple".
Safari 6.0
Safari
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco di scripting cross-site.
Descrizione: si verificava un problema di scripting cross site nella gestione degli URL del feed://. Questo aggiornamento rimuove la gestione degli URL del feed://.
CVE-ID
CVE-2012-0678: Masato Kinugawa
Safari
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: l'accesso a un sito pericoloso potrebbe causare l'invio dei file del sistema dell'utente a un server remoto.
Descrizione: si verificava un problema di controllo dell'accesso nella gestione degli URL del feed://. Questo aggiornamento rimuove la gestione degli URL del feed://.
CVE-ID
CVE-2012-0679: Aaron Sigel di vtty.com
Safari
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: le password potrebbero autocompletarsi anche quando il sito specifica che l'autocompletamento dovrebbe essere disattivato.
Descrizione: alcuni elementi di input della password con l'attributo di autocompletamento impostato su "off" venivano autocompletati. Questo aggiornamento risolve il problema con la gestione migliorata dell'attributo di autocompletamento.
CVE-ID
CVE-2012-0680: Dan Poltawski di Moodle
Download di Safari
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: l'apertura di file pericolosi su determinati siti web potrebbe causare un attacco allo scripting cross-site.
Descrizione: si verificava un problema nel supporto di Safari per il valore 'attachment' dell'intestazione Content-Disposition HTTP impiegata da molti siti web per usare file che sono stati caricati sul sito da terze parti, come ad esempio gli allegati di applicazioni email basate sul web. Qualsiasi script presente in file forniti con questo valore di intestazione poteva essere eseguito come se il file fosse stato usato in linea, con accesso completo alle altre risorse sul server di origine. Questo problema è stato risolto scaricando le risorse fornite con questa intestazione anziché visualizzarle in linea.
CVE-ID
CVE-2011-3426: Mickey Shkatov di laplinker.com, Kyle Osborn, Hidetake Jo in Microsoft e Microsoft Vulnerability Research (MSVR)
WebKit
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificavano diversi problemi di danneggiamento della memoria in WebKit. Questi problemi sono stati risolti mediante una migliore gestione della memoria.
CVE-ID
CVE-2011-3016: miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: wushi di team509, collaboratore di iDefense VCP, Arthur Gerkis
CVE-2011-3036: miaubiz
CVE-2011-3037: miaubiz
CVE-2011-3038: miaubiz
CVE-2011-3039: miaubiz
CVE-2011-3040: miaubiz
CVE-2011-3041: miaubiz
CVE-2011-3042: miaubiz
CVE-2011-3043: miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: miaubiz
CVE-2011-3053: miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: miaubiz
CVE-2011-3064: Atte Kettunen di OUSPG
CVE-2011-3068: miaubiz
CVE-2011-3069: miaubiz
CVE-2011-3071: pa_kt, collaboratore della Zero Day Initiative di HP
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Slawomir Blazek
CVE-2011-3075: miaubiz
CVE-2011-3076: miaubiz
CVE-2011-3078: Martin Barbella del Google Chrome Security Team
CVE-2011-3081: miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: Skylined del Google Chrome Security Team, miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: miaubiz
CVE-2011-3966: Aki Helin di OUSPG
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: sicurezza dei prodotti Apple
CVE-2012-0683: Dave Mandelin di Mozilla
CVE-2012-1520: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer, Jose A. Vazquez di spa-s3c.blogspot.com, collaboratore di iDefense VCP
CVE-2012-1521: Skylined del Google Chrome Security Team, Jose A. Vazquez di spa-s3c.blogspot.com, collaboratore di iDefense VCP
CVE-2012-3589: Dave Mandelin di Mozilla
CVE-2012-3590: sicurezza dei prodotti Apple
CVE-2012-3591: sicurezza dei prodotti Apple
CVE-2012-3592: sicurezza dei prodotti Apple
CVE-2012-3593: sicurezza dei prodotti Apple
CVE-2012-3594: miaubiz
CVE-2012-3595: Martin Barbella di Google Chrome Security
CVE-2012-3596: Skylined del Google Chrome Security Team
CVE-2012-3597: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3599: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3600: David Levin della community di sviluppo di Chromium
CVE-2012-3603: sicurezza dei prodotti Apple
CVE-2012-3604: Skylined del Google Chrome Security Team
CVE-2012-3605: Cris Neckar del Google Chrome Security Team
CVE-2012-3608: Skylined del Google Chrome Security Team
CVE-2012-3609: Skylined del Google Chrome Security Team
CVE-2012-3610: Skylined del Google Chrome Security Team
CVE-2012-3611: sicurezza dei prodotti Apple
CVE-2012-3615: Stephen Chenney della community di sviluppo di Chromium
CVE-2012-3618: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3620: Abhishek Arya del Google Chrome Security Team
CVE-2012-3625: Skylined del Google Chrome Security Team
CVE-2012-3626: sicurezza dei prodotti Apple
CVE-2012-3627: Skylined e Abhishek Arya del Google Chrome Security Team
CVE-2012-3628: sicurezza dei prodotti Apple
CVE-2012-3629: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3630: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3631: Abhishek Arya del Google Chrome Security Team sta utilizzando AddressSanitizer
CVE-2012-3633: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3634: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3635: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3636: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3637: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3638: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3639: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3640: miaubiz
CVE-2012-3641: Slawomir Blazek
CVE-2012-3642: miaubiz
CVE-2012-3644: miaubiz
CVE-2012-3645: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3646: Julien Chaffraix della community di sviluppo di Chromium, Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3653: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3655: Skylined del Google Chrome Security Team
CVE-2012-3656: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3661: sicurezza dei prodotti Apple
CVE-2012-3663: Skylined del Google Chrome Security Team
CVE-2012-3664: Thomas Sepez della community di sviluppo di Chromium
CVE-2012-3665: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3666: Apple
CVE-2012-3667: Trevor Squires di propaneapp.com
CVE-2012-3668: sicurezza dei prodotti Apple
CVE-2012-3669: sicurezza dei prodotti Apple
CVE-2012-3670: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer, Arthur Gerkis
CVE-2012-3674: Skylined del Google Chrome Security Team
CVE-2012-3678: sicurezza dei prodotti Apple
CVE-2012-3679: Chris Leary di Mozilla
CVE-2012-3680: Skylined del Google Chrome Security Team
CVE-2012-3681: Apple
CVE-2012-3682: Adam Barth del Google Chrome Security Team
CVE-2012-3683: wushi di team509, collaboratore di iDefense VCP
CVE-2012-3686: Robin Cao di Torch Mobile (Pechino)
WebKit
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: il trascinamento e il rilascio del testo selezionato in una pagina web potrebbe comportare la diffusione di informazioni cross-site.
Descrizione: si verificava un problema cross-origin nella gestione degli eventi di trascinamento e rilascio. Questo problema è stato risolto migliorando il tracking delle origini.
CVE-ID
CVE-2012-3689: David Bloom di Cue
WebKit
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: il trascinamento e il rilascio del testo selezionato in una pagina web potrebbe causare l'invio di file del sistema dell'utente a un server remoto.
Descrizione: si verificava un problema di controllo dell'accesso nella gestione di eventi di trascinamento e rilascio. Questo problema è stato risolto migliorando il tracking delle origini.
CVE-ID
CVE-2012-3690: David Bloom di Cue
WebKit
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: l'accesso a un sito web pericoloso potrebbe causare la diffusione di informazioni cross-site.
Descrizione: si verificava un problema cross-origin nella gestione dei valori della proprietà del CSS. Questo problema è stato risolto migliorando il tracking delle origini.
CVE-ID
CVE-2012-3691: Apple
WebKit
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: un sito web pericoloso potrebbe essere in grado di sostituire i contenuti di un iframe in un altro sito.
Descrizione: si verificava un problema cross-origin nella gestione degli iframe nelle finestre popup. Questo problema è stato risolto migliorando il tracking delle origini.
CVE-ID
CVE-2011-3067: Sergey Glazunov
WebKit
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: l'accesso a un sito web pericoloso potrebbe causare la diffusione di informazioni cross-site.
Descrizione: si verificava un problema cross-origin nella gestione degli identificatori di iframe e frammenti. Questo problema è stato risolto migliorando il tracking delle origini.
CVE-ID
CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt e Dan Boneh dello Stanford University Security Laboratory
WebKit
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: i caratteri simili di un URL potrebbero essere usati per mascherare un sito web.
Descrizione: il supporto IDN (International Domain Name) e i caratteri Unicode integrati in Safari potrebbero essere stati utilizzati per creare un URL che contiene caratteri simili. Tali caratteri potrebbero essere stati usati in un sito web pericoloso per indirizzare l'utente verso un sito fraudolento, ma dall'aspetto simile a un dominio legittimo. Questo problema viene risolto inserendo nell'elenco di WebKit i caratteri simili noti. I caratteri simili sono visualizzati in Punycode nella barra dell'indirizzo.
CVE-ID
CVE-2012-3693: Matt Cooley di Symantec
WebKit
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: il trascinamento e il rilascio di un file in Safari potrebbe rivelare il percorso del filesystem del file per il sito web.
Descrizione: si verificava un problema di diffusione informazioni nella gestione dei file trascinati. Questo problema è stato risolto attraverso la gestione migliorata dei file trascinati.
CVE-ID
CVE-2012-3694: Daniel Cheng di Google, Aaron Sigel di vtty.com
WebKit
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco di scripting cross-site.
Descrizione: si verificava un problema di canonicalizzazione nella gestione degli URL. Ciò poteva comportare lo scripting cross-site in siti che usano la proprietà location.href. Questo problema è stato risolto attraverso la canonicalizzazione migliorata degli URL.
CVE-ID
CVE-2012-3695: Masato Kinugawa
WebKit
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: l'accesso a un sito web pericoloso potrebbe comportare una divisione della richiesta HTTP.
Descrizione: si verificava un problema di immissione intestazione nella gestione di WebSockets. Questo problema è stato risolto attraverso la sanitizzazione migliorata di WebSockets URI.
CVE-ID
CVE-2012-3696: David Belcher del BlackBerry Security Incident Response Team
WebKit
Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Impatto: un sito web pericoloso potrebbe essere in grado di corrompere il valore nella barra degli URL.
Descrizione: si verificava un problema di gestione dello stato nella gestione della cronologia della sessione. Le navigazioni a un frammento della pagina corrente potevano causare, in Safari, la visualizzazione di informazioni non corrette nella barra degli URL. Questo problema è stato risolto attraverso una sessione migliorata del tracciamento dello stato.
CVE-ID
CVE-2011-2845: Jordi Chancel
WebKit
Disponibile per: OS X Lion 10.7.4, Lion Server 10.7.4
Impatto: un'entità di attacco potrebbe essere in grado di aggirare la sandbox e accedere ai file a cui anche l'utente ha accesso.
Descrizione: si verificava un problema di controllo dell'accesso nella gestione degli URL del file. Un'entità di attacco che ottiene un'esecuzione di codice arbitrario in un WebProcess di Safari poteva essere in grado di aggirare la sandbox e accedere ai file a cui l'utente che sta eseguendo Safari ha accesso. Questo problema è stato risolto attraverso la gestione migliorata degli URL dei file.
CVE-ID
CVE-2012-3697: Aaron Sigel di vtty.com
WebKit
Disponibile per: OS X Lion 10.7.4, Lion Server 10.7.4
Impatto: l'accesso a un sito web pericoloso potrebbe comportare la diffusione di contenuti della memoria.
Descrizione: si verificava un problema di accesso alla memoria non inizializzata nella gestione delle immagini SVG. Questo problema è stato risolto attraverso una migliore inizializzazione della memoria.
CVE-ID
CVE-2012-3650: Apple
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.