Informazioni sul contenuto di sicurezza di Safari 6

In questo documento viene descritto il contenuto di sicurezza di Safari 6.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple".

Safari 6.0

  • Safari

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: si verificava un problema di scripting cross site nella gestione degli URL del feed://. Questo aggiornamento rimuove la gestione degli URL del feed://.

    CVE-ID

    CVE-2012-0678: Masato Kinugawa

  • Safari

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: l'accesso a un sito pericoloso potrebbe causare l'invio dei file del sistema dell'utente a un server remoto.

    Descrizione: si verificava un problema di controllo dell'accesso nella gestione degli URL del feed://. Questo aggiornamento rimuove la gestione degli URL del feed://.

    CVE-ID

    CVE-2012-0679: Aaron Sigel di vtty.com

  • Safari

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: le password potrebbero autocompletarsi anche quando il sito specifica che l'autocompletamento dovrebbe essere disattivato.

    Descrizione: alcuni elementi di input della password con l'attributo di autocompletamento impostato su "off" venivano autocompletati. Questo aggiornamento risolve il problema con la gestione migliorata dell'attributo di autocompletamento.

    CVE-ID

    CVE-2012-0680: Dan Poltawski di Moodle

  • Download di Safari

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: l'apertura di file pericolosi su determinati siti web potrebbe causare un attacco allo scripting cross-site.

    Descrizione: si verificava un problema nel supporto di Safari per il valore 'attachment' dell'intestazione Content-Disposition HTTP impiegata da molti siti web per usare file che sono stati caricati sul sito da terze parti, come ad esempio gli allegati di applicazioni email basate sul web. Qualsiasi script presente in file forniti con questo valore di intestazione poteva essere eseguito come se il file fosse stato usato in linea, con accesso completo alle altre risorse sul server di origine. Questo problema è stato risolto scaricando le risorse fornite con questa intestazione anziché visualizzarle in linea.

    CVE-ID

    CVE-2011-3426: Mickey Shkatov di laplinker.com, Kyle Osborn, Hidetake Jo in Microsoft e Microsoft Vulnerability Research (MSVR)

  • WebKit

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di danneggiamento della memoria in WebKit. Questi problemi sono stati risolti mediante una migliore gestione della memoria.

    CVE-ID

    CVE-2011-3016: miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: wushi di team509, collaboratore di iDefense VCP, Arthur Gerkis

    CVE-2011-3036: miaubiz

    CVE-2011-3037: miaubiz

    CVE-2011-3038: miaubiz

    CVE-2011-3039: miaubiz

    CVE-2011-3040: miaubiz

    CVE-2011-3041: miaubiz

    CVE-2011-3042: miaubiz

    CVE-2011-3043: miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: miaubiz

    CVE-2011-3053: miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: miaubiz

    CVE-2011-3064: Atte Kettunen di OUSPG

    CVE-2011-3068: miaubiz

    CVE-2011-3069: miaubiz

    CVE-2011-3071: pa_kt, collaboratore della Zero Day Initiative di HP

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Slawomir Blazek

    CVE-2011-3075: miaubiz

    CVE-2011-3076: miaubiz

    CVE-2011-3078: Martin Barbella del Google Chrome Security Team

    CVE-2011-3081: miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: Skylined del Google Chrome Security Team, miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: miaubiz

    CVE-2011-3966: Aki Helin di OUSPG

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: sicurezza dei prodotti Apple

    CVE-2012-0683: Dave Mandelin di Mozilla

    CVE-2012-1520: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer, Jose A. Vazquez di spa-s3c.blogspot.com, collaboratore di iDefense VCP

    CVE-2012-1521: Skylined del Google Chrome Security Team, Jose A. Vazquez di spa-s3c.blogspot.com, collaboratore di iDefense VCP

    CVE-2012-3589: Dave Mandelin di Mozilla

    CVE-2012-3590: sicurezza dei prodotti Apple

    CVE-2012-3591: sicurezza dei prodotti Apple

    CVE-2012-3592: sicurezza dei prodotti Apple

    CVE-2012-3593: sicurezza dei prodotti Apple

    CVE-2012-3594: miaubiz

    CVE-2012-3595: Martin Barbella di Google Chrome Security

    CVE-2012-3596: Skylined del Google Chrome Security Team

    CVE-2012-3597: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3599: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3600: David Levin della community di sviluppo di Chromium

    CVE-2012-3603: sicurezza dei prodotti Apple

    CVE-2012-3604: Skylined del Google Chrome Security Team

    CVE-2012-3605: Cris Neckar del Google Chrome Security Team

    CVE-2012-3608: Skylined del Google Chrome Security Team

    CVE-2012-3609: Skylined del Google Chrome Security Team

    CVE-2012-3610: Skylined del Google Chrome Security Team

    CVE-2012-3611: sicurezza dei prodotti Apple

    CVE-2012-3615: Stephen Chenney della community di sviluppo di Chromium

    CVE-2012-3618: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3620: Abhishek Arya del Google Chrome Security Team

    CVE-2012-3625: Skylined del Google Chrome Security Team

    CVE-2012-3626: sicurezza dei prodotti Apple

    CVE-2012-3627: Skylined e Abhishek Arya del Google Chrome Security Team

    CVE-2012-3628: sicurezza dei prodotti Apple

    CVE-2012-3629: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3630: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3631: Abhishek Arya del Google Chrome Security Team sta utilizzando AddressSanitizer

    CVE-2012-3633: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3634: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3635: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3636: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3637: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3638: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3639: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3640: miaubiz

    CVE-2012-3641: Slawomir Blazek

    CVE-2012-3642: miaubiz

    CVE-2012-3644: miaubiz

    CVE-2012-3645: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3646: Julien Chaffraix della community di sviluppo di Chromium, Martin Barbella del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3653: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3655: Skylined del Google Chrome Security Team

    CVE-2012-3656: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3661: sicurezza dei prodotti Apple

    CVE-2012-3663: Skylined del Google Chrome Security Team

    CVE-2012-3664: Thomas Sepez della community di sviluppo di Chromium

    CVE-2012-3665: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer

    CVE-2012-3666: Apple

    CVE-2012-3667: Trevor Squires di propaneapp.com

    CVE-2012-3668: sicurezza dei prodotti Apple

    CVE-2012-3669: sicurezza dei prodotti Apple

    CVE-2012-3670: Abhishek Arya del Google Chrome Security Team tramite AddressSanitizer, Arthur Gerkis

    CVE-2012-3674: Skylined del Google Chrome Security Team

    CVE-2012-3678: sicurezza dei prodotti Apple

    CVE-2012-3679: Chris Leary di Mozilla

    CVE-2012-3680: Skylined del Google Chrome Security Team

    CVE-2012-3681: Apple

    CVE-2012-3682: Adam Barth del Google Chrome Security Team

    CVE-2012-3683: wushi di team509, collaboratore di iDefense VCP

    CVE-2012-3686: Robin Cao di Torch Mobile (Pechino)

  • WebKit

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: il trascinamento e il rilascio del testo selezionato in una pagina web potrebbe comportare la diffusione di informazioni cross-site.

    Descrizione: si verificava un problema cross-origin nella gestione degli eventi di trascinamento e rilascio. Questo problema è stato risolto migliorando il tracking delle origini.

    CVE-ID

    CVE-2012-3689: David Bloom di Cue

  • WebKit

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: il trascinamento e il rilascio del testo selezionato in una pagina web potrebbe causare l'invio di file del sistema dell'utente a un server remoto.

    Descrizione: si verificava un problema di controllo dell'accesso nella gestione di eventi di trascinamento e rilascio. Questo problema è stato risolto migliorando il tracking delle origini.

    CVE-ID

    CVE-2012-3690: David Bloom di Cue

  • WebKit

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: l'accesso a un sito web pericoloso potrebbe causare la diffusione di informazioni cross-site.

    Descrizione: si verificava un problema cross-origin nella gestione dei valori della proprietà del CSS. Questo problema è stato risolto migliorando il tracking delle origini.

    CVE-ID

    CVE-2012-3691: Apple

  • WebKit

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: un sito web pericoloso potrebbe essere in grado di sostituire i contenuti di un iframe in un altro sito.

    Descrizione: si verificava un problema cross-origin nella gestione degli iframe nelle finestre popup. Questo problema è stato risolto migliorando il tracking delle origini.

    CVE-ID

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: l'accesso a un sito web pericoloso potrebbe causare la diffusione di informazioni cross-site.

    Descrizione: si verificava un problema cross-origin nella gestione degli identificatori di iframe e frammenti. Questo problema è stato risolto migliorando il tracking delle origini.

    CVE-ID

    CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt e Dan Boneh dello Stanford University Security Laboratory

  • WebKit

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: i caratteri simili di un URL potrebbero essere usati per mascherare un sito web.

    Descrizione: il supporto IDN (International Domain Name) e i caratteri Unicode integrati in Safari potrebbero essere stati utilizzati per creare un URL che contiene caratteri simili. Tali caratteri potrebbero essere stati usati in un sito web pericoloso per indirizzare l'utente verso un sito fraudolento, ma dall'aspetto simile a un dominio legittimo. Questo problema viene risolto inserendo nell'elenco di WebKit i caratteri simili noti. I caratteri simili sono visualizzati in Punycode nella barra dell'indirizzo.

    CVE-ID

    CVE-2012-3693: Matt Cooley di Symantec

  • WebKit

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: il trascinamento e il rilascio di un file in Safari potrebbe rivelare il percorso del filesystem del file per il sito web.

    Descrizione: si verificava un problema di diffusione informazioni nella gestione dei file trascinati. Questo problema è stato risolto attraverso la gestione migliorata dei file trascinati.

    CVE-ID

    CVE-2012-3694: Daniel Cheng di Google, Aaron Sigel di vtty.com

  • WebKit

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: si verificava un problema di canonicalizzazione nella gestione degli URL. Ciò poteva comportare lo scripting cross-site in siti che usano la proprietà location.href. Questo problema è stato risolto attraverso la canonicalizzazione migliorata degli URL.

    CVE-ID

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: l'accesso a un sito web pericoloso potrebbe comportare una divisione della richiesta HTTP.

    Descrizione: si verificava un problema di immissione intestazione nella gestione di WebSockets. Questo problema è stato risolto attraverso la sanitizzazione migliorata di WebSockets URI.

    CVE-ID

    CVE-2012-3696: David Belcher del BlackBerry Security Incident Response Team

  • WebKit

    Disponibile per: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Impatto: un sito web pericoloso potrebbe essere in grado di corrompere il valore nella barra degli URL.

    Descrizione: si verificava un problema di gestione dello stato nella gestione della cronologia della sessione. Le navigazioni a un frammento della pagina corrente potevano causare, in Safari, la visualizzazione di informazioni non corrette nella barra degli URL. Questo problema è stato risolto attraverso una sessione migliorata del tracciamento dello stato.

    CVE-ID

    CVE-2011-2845: Jordi Chancel

  • WebKit

    Disponibile per: OS X Lion 10.7.4, Lion Server 10.7.4

    Impatto: un'entità di attacco potrebbe essere in grado di aggirare la sandbox e accedere ai file a cui anche l'utente ha accesso.

    Descrizione: si verificava un problema di controllo dell'accesso nella gestione degli URL del file. Un'entità di attacco che ottiene un'esecuzione di codice arbitrario in un WebProcess di Safari poteva essere in grado di aggirare la sandbox e accedere ai file a cui l'utente che sta eseguendo Safari ha accesso. Questo problema è stato risolto attraverso la gestione migliorata degli URL dei file.

    CVE-ID

    CVE-2012-3697: Aaron Sigel di vtty.com

  • WebKit

    Disponibile per: OS X Lion 10.7.4, Lion Server 10.7.4

    Impatto: l'accesso a un sito web pericoloso potrebbe comportare la diffusione di contenuti della memoria.

    Descrizione: si verificava un problema di accesso alla memoria non inizializzata nella gestione delle immagini SVG. Questo problema è stato risolto attraverso una migliore inizializzazione della memoria.

    CVE-ID

    CVE-2012-3650: Apple

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Ultima modifica:
Utile?

Informazioni aggiuntive di supporto al prodotto

Italia (Italiano)