Informazioni sul contenuto di sicurezza di Safari 4.0.3

Questo documento descrive il contenuto di sicurezza di Safari 4.0.3.

Per proteggere i propri clienti, Apple non divulga, discute o conferma alcun problema relativo alla sicurezza finché non è stata eseguita un'indagine approfondita e non sono disponibili le necessarie correzioni o aggiornamenti della versione. Per ulteriori informazioni sulla sicurezza dei prodotti Apple, accedere al sito web Aggiornamenti di sicurezza Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, vedi "Come utilizzare la chiave PGP per la sicurezza dei prodotti Apple".

Ove possibile, vengono usati gli ID CVE per ulteriori informazioni relative alle vulnerabilità.

Per conoscere gli altri aggiornamenti relativi alla sicurezza, vedi "Aggiornamenti di sicurezza Apple".

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Disponibile per: Windows XP e Vista

    Impatto: l'accesso a un sito Web pericoloso può causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: esiste un overflow di buffer di heap nell'estrazione di stringhe di testo lunghe. L'accesso a un sito Web pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Ringraziamo Will Drewry di Google Inc per aver segnalato questo problema.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Disponibile per: Windows XP e Vista

    Impatto: l'apertura di un'immagine pericolosa può causare il blocco inatteso delle applicazioni o l'esecuzione di codice arbitrario

    Descrizione: esiste un overflow di buffer nella gestione dei metadati EXIF. L'apertura di un'immagine pericolosa può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti.

  • Safari

    CVE-ID: CVE-2009-2196

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP e Vista

    Impatto: un sito Web pericoloso potrebbe essere promosso nella pagina Top Sites di Safari

    Descrizione: Safari 4 ha introdotto la funzione Top Sites per permetterti di visualizzare in sintesi i tuoi siti Web preferiti. Un sito Web pericoloso può promuovere siti arbitrari in Top Sites tramite azioni automatizzate. Questi siti possono favorire gli attacchi di phishing. Questo problema può essere risolto impedendo ai siti Web automatizzati di modificare l'elenco dei siti preferiti. Nell'elenco Top Sites possono essere inclusi solo i siti Web visitati manualmente dall'utente. Safari attiva il rilevamento dei siti fraudolenti per impostazione predefinita. Dall'introduzione della funzione Top Sites, i siti fraudolenti non vengono visualizzati in Top Sites. Ringraziamo Inferno di SecureThoughts.com per aver segnalato questo problema.

  • WebKit

    CVE-ID: CVE-2009-2195

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP e Vista

    Impatto: l'accesso a un sito Web pericoloso può causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: esiste un overflow di buffer nell'analisi di numeri a virgola mobile in WebKit. L'accesso a un sito Web pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Si ringrazia: Apple.

  • WebKit

    CVE-ID: CVE-2009-2200

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP e Vista

    Impatto: l'accesso a un sito Web pericoloso, facendo clic su "Vai" nella finestra di dialogo plugin pericolosa visualizzata, può causare la divulgazione di informazioni sensibili

    Descrizione: WebKit consente all'attributo pluginspage dell'elemento "inserito" di fornire gli URL dei file. Fare clic su "Vai" nella finestra di dialogo visualizzata quando viene fornito un tipo di plugin sconosciuto causerà il reindirizzamento all'URL riportato nell'attributo pluginspage. In questo modo un malintenzionato collegato in remoto può aprire gli URL dei file in Safari e accedere a informazioni sensibili. Questo aggiornamento risolve il problema limitando lo schema URL di pluginspage a http o https. Ringraziamo Alexios Fakos di n.runs AG per aver segnalato il problema.

  • WebKit

    CVE-ID: CVE-2009-2199

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP e Vista

    Impatto: i caratteri simili di un URL possono essere utilizzati per mascherare un sito Web

    Descrizione: il supporto di IDN (International Domain Name) e i caratteri Unicode incorporati in Safari possono essere utilizzati per creare un URL contenente caratteri simili. Questi URL possono essere utilizzati in un sito Web pericoloso per indirizzare l'utente verso un sito fraudolento, ma di aspetto visivo simile a un dominio legittimo. Questo aggiornamento risolve il problema integrando l'elenco dei caratteri simili di WebKit. I caratteri simili sono visualizzati in Punycode nella barra dell'indirizzo. Ringraziamo Chris Weber di Casaba Security, LLC per aver segnalato questo problema.

Data di pubblicazione: