Informazioni sul contenuto di sicurezza di Safari 8.0.8, Safari 7.1.8 e Safari 6.2.8

In questo documento viene descritto il contenuto di sicurezza di Safari 8.0.8, Safari 7.1.8 e Safari 6.2.8.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.

Safari 8.0.8, Safari 7.1.8 e Safari 6.2.8

• Applicazione Safari

  Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impatto: la visualizzazione di un sito web dannoso può determinare lo spoofing dell'interfaccia utente.

  Descrizione: un sito web dannoso può aprire un altro sito e richiedere l'input dell'utente senza che quest'ultimo possa conoscere l'origine della richiesta. Il problema viene risolto mostrando l'origine della richiesta all'utente.

  ID CVE

  CVE-2015-3729: Code Audit Labs di VulnHunt.com

• WebKit

  Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verificano diversi problemi di danneggiamento della memoria in WebKit. Questi problemi vengono risolti mediante una migliore gestione della memoria.

  ID CVE

  CVE-2015-3730: Apple

  CVE-2015-3731: Apple

  CVE-2015-3732: Apple

  CVE-2015-3733: Apple

  CVE-2015-3734: Apple

  CVE-2015-3735: Apple

  CVE-2015-3736: Apple

  CVE-2015-3737: Apple

  CVE-2015-3738: Apple

  CVE-2015-3739: Apple

  CVE-2015-3740: Apple

  CVE-2015-3741: Apple

  CVE-2015-3742: Apple

  CVE-2015-3743: Apple

  CVE-2015-3744: Apple

  CVE-2015-3745: Apple

  CVE-2015-3746: Apple

  CVE-2015-3747: Apple

  CVE-2015-3748: Apple

  CVE-2015-3749: Apple

• WebKit

  Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impatto: un sito web dannoso può attivare richieste con testo normale per un'origine in HTTP Strict Transport Security.

  Descrizione: si verifica un problema per cui le richieste di report per la Content Security Policy non rispettano il meccanismo di sicurezza HTTP Strict Transport Security. Questo problema viene risolto mediante una migliore applicazione del meccanismo di sicurezza HTTP Strict Transport Security.

  ID CVE

  CVE-2015-3750: Muneaki Nishimura (nishimunea)

• WebKit

  Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impatto: il caricamento delle immagini può causare la violazione della direttiva della Content Security Policy di un sito web.

  Descrizione: si verifica un problema per cui i siti web con controlli video caricano le immagini nidificate negli elementi oggetto in violazione della direttiva della Content Security Policy del sito web. Questo problema viene risolto mediante una migliore applicazione della direttiva della Content Security Policy.

  ID CVE

  CVE-2015-3751: Muneaki Nishimura (nishimunea)

• WebKit

  Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impatto: le richieste di report per la Content Security Policy possono divulgare i cookie.

  Descrizione: si verificano due problemi nel modo in cui i cookie vengono aggiunti alle richieste di report per la Content Security Policy. I cookie vengono inviati in richieste di report multiorigine in violazione dello standard. I cookie impostati durante la normale navigazione vengono inviati in modalità di navigazione privata. Questi problemi vengono risolti mediante una migliore gestione dei cookie.

  ID CVE

  CVE-2015-3752: Muneaki Nishimura (nishimunea)

• Area di lavoro di WebKit

  Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impatto: un sito web dannoso può esfiltrare la multiorigine dei dati immagine.

  Descrizione: le immagini scaricate mediante gli URL che reindirizzano a un risorsa data:image possono essere esfiltrate dalla multiorgine. Il problema viene risolto mediante un migliore rilevamento della traccia delle aree di lavoro.

  ID CVE

  CVE-2015-3753: Antonio Sanso e Damien Antipa di Adobe

• Caricamento della pagina di WebKit

  Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impatto: lo stato di autenticazione nella cache può visualizzare la cronologia di navigazione privata.

  Descrizione: si verifica un problema relativo all'autenticazione HTTP nella cache. Le credenziali immesse nella modalità di navigazione privata vengono spostate nella navigazione normale causando la visualizzazione di parti della cronologia di navigazione privata dell'utente. Questo problema viene risolto mediante migliori restrizioni della cache.

  ID CVE

  CVE-2015-3754: Dongsung Kim (@kid1ng)

• Modello processo di WebKit

  Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impatto: la visualizzazione di un sito web dannoso può determinare lo spoofing dell'interfaccia utente.

  Descrizione: la navigazione su un URL dal formato non corretto può consentire a un sito web dannoso di visualizzare un URL arbitrario. Questo problema viene risolto mediante una migliore gestione degli URL.

  ID CVE

  CVE-2015-3755: xisigr di Tencent's Xuanwu Lab