Informazioni sul contenuto di sicurezza di Safari 4.0.4

Questo documento descrive il contenuto di sicurezza di Safari 4.0.4.

Per proteggere i propri clienti, Apple non divulga, discute o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni sulla sicurezza dei prodotti Apple, consulta il sito Web Aggiornamenti di sicurezza Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo "Come utilizzare la chiave PGP per la sicurezza dei prodotti Apple".

Quando è possibile, per ulteriori informazioni relative alle vulnerabilità vengono utilizzati gli ID CVE.

Per ulteriori informazioni sugli aggiornamenti relativi alla sicurezza, consulta l'articolo "Aggiornamenti di sicurezza Apple".

Safari 4.0.4

  • ColorSync

    CVE-ID: CVE-2009-2804

    Disponibile per: Windows 7, Vista, XP

    Impatto: la visualizzazione di un'immagine pericolosa con un profilo colore incorporato può causare l'improvvisa chiusura delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: un integer overflow nella gestione delle immagini con un profilo colore incorporato può causare un overflow del buffer di heap. L'apertura di un'immagine pericolosa con un profilo colore incorporato può comportare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario. Il problema può essere risolto eseguendo ulteriori convalide dei profili colore. Il problema non interessa i sistemi Mac OS X v10.6. Il problema è già stato risolto con l'aggiornamento Security Update 2009-005 per i sistemi Mac OS X v10.5.8. Si ringrazia: Apple.

  • libxml

    CVE-ID: -2414, CVE-2009-, CVE-2009-2416

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Windows 7, Vista, XP

    Impatto: l'analisi sintattica di contenuti XML pericolosi può causare la chiusura inaspettata delle applicazioni.

    Descrizione: si verificano diversi problemi di tipo use-after-free in libxml2, il più grave dei quali può causare la chiusura inaspettata delle applicazioni. Questo aggiornamento risolve il problema migliorando la gestione della memoria. I problemi sono già stati risolti in Mac OS X v10.6.2 e dall'aggiornamento Security Update 2009-006 per i sistemi Mac OS X v10.5.8.

  • Safari

    CVE-ID: CVE-2009-2842

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 e v10.6.2, Mac OS X Server v10.6.1 e v10.6.2, Windows 7, Vista, XP

    Impatto: l'utilizzo delle opzioni del menu di scelta rapida interne di un sito Web pericoloso può comportare la divulgazione di informazioni locali.

    Descrizione: problema nella gestione delle navigazioni di Safari avviate dalle opzioni del menu di scelta rapida "Apri immagine in un nuovo pannello", "Apri immagine in una nuova finestra" o "Apri collegamento in un nuovo pannello". L'utilizzo di queste opzioni in un sito Web pericoloso può causare il caricamento di un file HTML locale in grado di divulgare informazioni sensibili. Il problema è stato risolto disabilitando le opzioni del menu di scelta rapida citate se la destinazione di un collegamento è un file locale.

  • WebKit

    CVE-ID: CVE-2009-2816

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 e v10.6.2, Mac OS X Server v10.6.1 e v10.6.2, Windows 7, Vista, XP

    Impatto: l'accesso a un sito Web pericoloso può comportare attività impreviste su altri siti.

    Descrizione: errore nell'implementazione di Cross-Origin Resource Sharing con WebKit. Prima di consentire l'accesso alle risorse di un'origine a un'altra origine, WebKit invia una richiesta di accesso al secondo server. WebKit include intestazioni HTTP personalizzate che vengono specificate dalla pagina che effettua la richiesta di accesso. Questo processo facilita la falsificazione delle richieste cross-site. Il problema è stato risolto rimuovendo le intestazioni HTTP personalizzate dalle richieste di accesso. Si ringrazia: Apple.

  • WebKit

    CVE-ID: CVE-2009-3384

    Disponibile per: Windows 7, Vista, XP

    Impatto: l'accesso a un server FTP pericoloso può comportare la chiusura improvvisa delle applicazioni, la divulgazione di informazioni o l'esecuzione di codice arbitrario.

    Descrizione: esistono diverse vulnerabilità nella gestione degli elenchi delle directory FTP. L'accesso a un server FTP pericoloso può comportare la divulgazione di informazioni, la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario. L'aggiornamento risolve i problemi migliorando l'analisi sintattica degli elenchi delle directory FTP. Questi problemi non interessano Safari nei sistemi Mac OS X, Ringraziamo Michal Zalewski di Google Inc. per aver segnalato questi problemi.

  • WebKit

    CVE-ID: CVE-2009-2841

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 e v10.6.2, Mac OS X Server v10.6.1 e v10.6.2

    Impatto: quando il caricamento delle immagini remote è disabilitato, Mail carica i contenuti audio e video remoti.

    Descrizione: quando WebKit rileva un elemento multimediale HTML 5 destinato a una risorsa esterna, non trasmette una funzione di risposta per determinare se la risorsa può essere caricata. Ciò può comportare una richiesta non desiderata ai server remoti. Ad esempio, il mittente di un messaggio e-mail formattato in HTML potrebbe utilizzare questa funzione per stabilire se il messaggio è stato aperto. Il problema è stato risolto generando risposte al caricamento delle risorse quando WebKit rileva un elemento multimediale HTML 5. Il problema non riguarda Safari nei sistemi Windows.

Data di pubblicazione: