Informazioni sui contenuti di sicurezza di Safari 10.1

In questo documento vengono descritti i contenuti di sicurezza di Safari 10.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Safari 10.1

Rilasciato il 27 marzo 2017

CoreGraphics

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2017-2444: Mei Wang di 360 GearTeam

JavaScriptCore

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2491: Apple

Voce aggiunta il 2 maggio 2017

JavaScriptCore

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di una pagina web pericolosa può comportare lo scripting cross-site universale.

Descrizione: un problema del prototipo è stato risolto attraverso una migliore logica.

CVE-2017-2492: lokihardt di Google Project Zero

Voce aggiornata il 24 aprile 2017

Safari

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'accesso a un sito web pericoloso può causare lo spoofing della barra degli indirizzi.

Descrizione: un problema di gestione dello stato è stato risolto tramite la disabilitazione dell'inserimento del testo fino al caricamento della pagina di destinazione.

CVE-2017-2376: un ricercatore anonimo, Chris Hlady di Google Inc, Yuyang Zhou di Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) di Recruit Technologies Co., Ltd., Michal Zalewski di Google Inc, un ricercatore anonimo

Safari

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la visualizzazione di fogli di autenticazione tramite siti web arbitrari.

Descrizione: nella gestione dell'autenticazione HTTP si verificava un problema di spoofing e DoS (Denial of Service). Il problema è stato risolto rendendo i fogli di autenticazione HTTP non modali.

CVE-2017-2389: ShenYeYinJiu di Tencent Security Response Center, TSRC

Safari

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'accesso a un sito web pericoloso mediante clic su un link può consentire lo spoofing dell'interfaccia utente.

Descrizione: si verificava un problema di spoofing nella gestione delle richieste di FaceTime. Questo problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2453: xisigr di Tencent's Xuanwu Lab (tencent.com)

Riempimento automatico con Safari

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: un utente locale potrebbe accedere a elementi del portachiavi bloccati.

Descrizione: un problema di gestione del portachiavi è stato risolto tramite una migliore gestione degli elementi del portachiavi.

CVE-2017-2385: Simon Woodside di MedStack

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: le azioni di trascinamento e rilascio di un link pericoloso potrebbero causare lo spoofing dei preferiti o l'esecuzione di codice arbitrario.

Descrizione: durante la creazione dei preferiti si verificava un problema di convalida. Questo problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2378: xisigr di Tencent's Xuanwu Lab (tencent.com)

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: un problema di accesso al prototipo è stato risolto attraverso una migliore gestione delle eccezioni.

CVE-2017-2386: André Bargull

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric di Google Project Zero, Zheng Huang di Baidu Security Lab in collaborazione con Zero Day Initiative di Trend Micro 

CVE-2017-2455: Ivan Fratric di Google Project Zero

CVE-2017-2459: Ivan Fratric di Google Project Zero

CVE-2017-2460: Ivan Fratric di Google Project Zero

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich di Google Project Zero

CVE-2017-2465: Zheng Huang e Wei Yuan di Baidu Security Lab

CVE-2017-2466: Ivan Fratric di Google Project Zero

CVE-2017-2468: lokihardt di Google Project Zero

CVE-2017-2469: lokihardt di Google Project Zero

CVE-2017-2470: lokihardt di Google Project Zero

CVE-2017-2476: Ivan Fratric di Google Project Zero

CVE-2017-2481: 0011 in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiornata il 20 giugno 2017

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2415: Kai Kang di Tencent's Xuanwu Lab (tentcent.com)

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la mancata applicazione della Content Security Policy in modo inatteso.

Descrizione: nella Content Security Policy si verificava un problema di accesso.  Questo problema è stato risolto attraverso migliori restrizioni di accesso.

CVE-2017-2419: Nicolai Grødum di Cisco Systems

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può comportare un elevato utilizzo della memoria.

Descrizione: un problema di utilizzo incontrollato delle risorse è stato risolto migliorando l'elaborazione regex.

CVE-2016-9643: Gustavo Grieco

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione dei contenuti della memoria

Descrizione: si verificava un problema di divulgazione di informazioni durante l'elaborazione degli shader OpenGL. Il problema è stato risolto mediante una migliore gestione della memoria.

CVE-2017-2424: Paul Thomson (tramite lo strumento GLFuzz) del Multicore Programming Group, Imperial College London

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2433: Apple

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificavano diversi problemi di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.

CVE-2017-2364: lokihardt di Google Project Zero

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: un sito web pericoloso può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificava un problema di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.

CVE-2017-2367: lokihardt di Google Project Zero

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può comportare lo scripting cross-site universale.

Descrizione: si verificava un problema logico nella gestione degli oggetti frame. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2017-2445: lokihardt di Google Project Zero

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema logico nella gestione delle funzioni strict mode. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2017-2446: Natalie Silvanovich di Google Project Zero

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'accesso a un sito web pericoloso può compromettere le informazioni dell'utente.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2447: Natalie Silvanovich di Google Project Zero

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-2463: Kai Kang (4B5F5F4B) di Tencent's Xuanwu Lab (tencent.com) in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 28 marzo 2017

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2471: Ivan Fratric di Google Project Zero

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può comportare lo scripting cross-site universale.

Descrizione: si verificava un problema logico nella gestione dei frame. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2017-2475: lokihardt di Google Project Zero

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificava un problema di convalida nella gestione degli elementi. Il problema è stato risolto attraverso una migliore convalida.

CVE-2017-2479: lokihardt di Google Project Zero

Voce aggiunta il 28 marzo 2017

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificava un problema di convalida nella gestione degli elementi. Il problema è stato risolto attraverso una migliore convalida.

CVE-2017-2480: lokihardt di Google Project Zero

CVE-2017-2493: lokihardt di Google Project Zero

Voce aggiornata il 24 aprile 2017

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'accesso a un sito web pericoloso può causare lo spoofing della barra degli indirizzi.

Descrizione: un problema di interfaccia utente non coerente è stato risolto tramite una migliore gestione dello stato.

CVE-2017-2486: un ricercatore anonimo

Voce aggiunta il 30 marzo 2017

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: un'applicazione può eseguire codice arbitrario

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2392: Max Bazaliy di Lookout

Voce aggiunta il 30 marzo 2017

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-2457: lokihardt di Google Project Zero

Voce aggiunta il 30 marzo 2017

WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti con una sua migliore gestione.

CVE-2017-7071: Kai Kang (4B5F5F4B) di Tencent's Xuanwu Lab (tencent.com) in collaborazione con Zero Day Initiative di Trend Micro 

Voce aggiunta il 23 agosto 2017

Binding JavaScript di WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificavano diversi problemi di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.

CVE-2017-2442: lokihardt di Google Project Zero

Inspector web di WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: la chiusura di una finestra sospesa nel debugger potrebbe causare l'arresto imprevisto dell'applicazione.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2377: Vicki Pfau

Inspector web di WebKit

Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2405: Apple

Altri riconoscimenti

Safari

Ringraziamo Flyin9 (ZhenHui Lee) per l'assistenza.

Webkit

Ringraziamo Yosuke HASEGAWA di Secure Sky Technology Inc. per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: