Informazioni sul contenuto di sicurezza di Safari 5.0 e 4.1

In questo documento viene illustrato il contenuto di sicurezza di Safari 5.0 e 4.1.

Per proteggere i propri clienti Apple non divulga né contesta o conferma alcun problema relativo alla sicurezza finché non è stata eseguita un'indagine approfondita e non sono stati resi disponibili aggiornamenti e correzioni necessari. Per ulteriori informazioni al riguardo, è possibile consultare il sito Web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo "Come utilizzare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, per ulteriori informazioni relative alle vulnerabilità vengono utilizzati gli ID CVE.

Per ulteriori informazioni sugli aggiornamenti di sicurezza, fai riferimento all'articolo "Aggiornamenti di sicurezza Apple".

Safari 5.0

  • ColorSync

    ID CVE: CVE-2009-1726

    Disponibile per: Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: la visualizzazione di un'immagine pericolosa con un profilo ColorSync incorporato può comportare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: esiste un overflow del buffer di heap nella gestione di immagini con un profilo ColorSync incorporato. L'apertura di un'immagine pericolosa con un profilo ColorSync incorporato può comportare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una convalida migliorata dei profili ColorSync. Ringraziamo Chris Evans di Google Security Team e Andrzej Dyjak per aver segnalato il problema.

  • ImageIO

    ID CVE: CVE-2010-1411

    Disponibile per: Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'apertura di un file TIFF pericoloso potrebbe causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: diversi overflow di numeri interi nella gestione di file TIFF potrebbero determinare un overflow nel buffer di heap. L'apertura di un file TIFF pericoloso potrebbe causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario. Questi problemi vengono risolti mediante un migliore controllo dei limiti. Ringraziamo Kevin Finisterre di digitalmunition.com per aver segnalato questi problemi.

  • Safari

    ID CVE: CVE-2010-1384

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: un URL pericoloso può risultare confuso, facilitando un eventuale attacco di phishing.

    Descrizione: Safari supporta l'inserimento delle informazioni dell'utente negli URL, che prevede l'immissione di nome utente e password per l'autenticazione al server in questione. Questi URL vengono spesso utilizzati per confondere gli utenti, favorendo in questo modo eventuali attacchi a scopo di phishing. L'aggiornamento di Safari consente di visualizzare un avviso prima di accedere a URL HTTP o HTTPS contenenti informazioni relative all'utente. Ringraziamo Abhishek Arya di Google Inc. per aver segnalato il problema.

  • Safari

    ID CVE: CVE-2010-1385

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: esiste un problema di tipo use-after-free nella gestione dei file PDF da parte di Safari. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione dei file PDF. Ringraziamo Borja Marcos di Sarenet per aver segnalato il problema.

  • Safari

    ID CVE: CVE-2010-1750

    Disponibile per: Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: esiste un problema di tipo use-after-free nella gestione delle finestre da parte di Safari. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione delle finestre. Il problema non interessa i sistemi Mac OS X.

  • WebKit

    ID CVE: CVE-2010-1388

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti.

    Impatto: trascinare o incollare collegamenti o immagini può comportare la divulgazione di informazioni.

    Descrizione: si verifica un problema di implementazione nella gestione degli URL negli appunti da parte di WebKit. Accedere a un sito Web pericoloso e trascinare o incollare collegamenti o immagini può comportare l'invio di file dal sistema dell'utente a un server remoto. Questo problema viene risolto tramite un'ulteriore convalida degli URL negli appunti. Il problema non interessa i sistemi Windows. Ringraziamo Eric Seidel di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1389

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: trascinare o incollare una selezione potrebbe causare un attacco di scripting cross-site.

    Descrizione: trascinare o incollare una selezione da un sito all'altro potrebbe determinare l'esecuzione degli script presenti nella selezione nel contesto del nuovo sito Web. Questo problema viene risolto tramite un'ulteriore convalida del contenuto prima di incollare o trascinare e rilasciare la selezione. Ringraziamo Paul Stone di Context Information Security per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1390

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web mediante codifica UTF-7 potrebbe causare un attacco di scripting cross-site.

    Descrizione: si verifica un problema di canonicalizzazione nella gestione del testo codificato UTF-7 da parte di WebKit. Una stringa HTML lasciata incompleta potrebbe causare un attacco di scripting cross-site o problemi affini. Questo problema viene risolto rimuovendo il supporto per la codifica UTF-7 in WebKit. Ringraziamo Masahiro Yamada per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1391

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso può causare la creazione di file in posizioni arbitrarie su cui l'utente può scrivere.

    Descrizione: si verifica un problema trasversale di percorso nel supporto di WebKit per l'archivio locale e per i database SQL Web. Se viene effettuato l'accesso da uno schema ad applicazione definita contenente "%2f" (/) o "%5c" (\) e ".." nella sezione host dell'URL, un sito Web pericoloso potrebbe causare la creazione di file fuori dalla directory designata. Questo problema viene risolto mediante la codifica dei caratteri dotati di particolari significati nei nomi dei percorsi. Questo problema non interessa i siti Web con schemi http: o https:. Ringraziamo Apple.

  • WebKit

    ID CVE: CVE-2010-1392

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nel rendering dei pulsanti HTML da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione della memoria. Ringraziamo Matthieu Bonetti di VUPEN Vulnerability Research Team e wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1393

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe comportare la divulgazione di informazioni.

    Descrizione: si verifica un problema di divulgazione di informazioni nella gestione dei fogli di stile a cascata (CSS) da parte di WebKit. Se un attributo HREF del foglio di stile è impostato su un URL che provoca un reindirizzamento, gli script della pagina potrebbero essere presenti anche nell'URL al quale si è reindirizzati. L'accesso a un sito Web pericoloso potrebbe provocare la divulgazione di URL sensibili su un altro sito. Questo problema viene risolto ripristinando gli script dell'URL originale e non di quello al quale si è reindirizzati.

  • WebKit

    ID CVE: CVE-2010-1119

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 o versioni più recenti, Mac OS X Server v10.6.1 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione della manipolazione degli attributi da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso un migliore rilevamento dei riferimenti della memoria. Ringraziamo Vincenzo Iozzo e Ralf Philipp Weinmann, collaboratori della Zero Day Initiative di TippingPoint, e Michal Zalewski di Google, Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1394

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: si verifica un problema di progettazione nella gestione di frammenti di documento da parte di WebKit. I contenuti dei frammenti di documenti HTML vengono elaborati prima di aggiungere un frammento a un documento. L'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site se in un sito Web legittimo si verifica il tentativo di manipolare un frammento di documento contenente dati non affidabili. Questo problema viene risolto assicurando che l'analisi iniziale del frammento non determini effetti collaterali sul documento da cui è stato creato il frammento stesso. Ringraziamo Eduardo Vela Nava (sirdarckcat) di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1422

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'interazione con un sito Web pericoloso può dare luogo ad attività impreviste su altri siti.

    Descrizione: si verifica un problema di gestione del punto focale da tastiera da parte di WebKit. Se il punto focale da tastiera varia durante l'elaborazione dei tasti premuti, WebKit potrebbe inviare un evento al frame appena attivato, anziché a quello attivo nel momento in cui sono stati premuti i tasti. Un sito Web pericoloso può indurre l'utente a compiere azioni indesiderate (ad esempio, iniziare una procedura di acquisto). Questo problema viene risolto impedendo l'invio di eventi generati dalla pressione dei tasti se il punto focale da tastiera varia durante l'elaborazione. Ringraziamo Michal Zalewski di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1395

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso può determinare un attacco di scripting cross-site.

    Descrizione: si verifica un problema di gestione del campo di applicazione degli elementi DOM da parte di WebKit. L'accesso a un sito Web pericoloso può determinare un attacco di scripting cross-site. Questo problema viene risolto tramite una migliore gestione degli elementi DOM. Ringraziamo Gianni "gf3" Chiappetta di Runlevel6 per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1396

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione della rimozione di elementi contenitore da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso un migliore rilevamento dei riferimenti della memoria. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1397

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nel rendering di una selezione da parte di WebKit quando il layout cambia. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione delle selezioni. Ringraziamo wushi&Z di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1398

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di corruzione della memoria nella gestione di inserimenti ordinati in elenco da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione degli inserimenti in elenco. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1399

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione delle modifiche della selezione su elementi di input del modulo da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione delle selezioni. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1400

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione degli elementi didascalici da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione degli elementi didascalici. Ringraziamo wushi di team509, collaboratore di iDefense, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1401

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione dello pseudo-elemento ":first-letter" nei CSS da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione dello pseudo-elemento ":first-letter". Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1402

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: esiste un problema di double free nella gestione degli ascoltatori di eventi nei documenti SVG da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione dei documenti SVG. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1403

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione degli elementi "use" nei documenti SVG da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione degli elementi "use" nei documenti SVG. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1404

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione dei documenti SVG con diversi elementi "use" da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione degli elementi "use" nei documenti SVG. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1410

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di corruzione della memoria nella gestione degli elementi "use" nidificati nei documenti SVG da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione degli elementi "use" nidificati nei documenti SVG. Ringraziamo Aki Helin di OUSPG per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1749

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione dei run-in CSS da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione dei run-in CSS. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1405

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione degli elementi HTML con posizionamento verticale personalizzato da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso un migliore rilevamento dei riferimenti della memoria. Ringraziamo Ojan Vafai di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1406

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito HTTPS che reindirizza a un sito HTTP può comportare la divulgazione di informazioni.

    Descrizione: quando WebKit è reindirizzato da un sito HTTPS a un sito HTTP, l'intestazione di provenienza viene passata al sito HTTP. Questo potrebbe causare la divulgazione dei dati sensibili contenuti nell'URL del sito HTTPS. Il problema può essere risolto evitando di trasferire l'intestazione di provenienza quando un sito HTTPS viene reindirizzato a un sito HTTP. Ringraziamo Colin Percival di Tarsnap per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1408

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare l'invio remoto di specifici dati alle porte TCP arbitrarie.

    Descrizione: si verifica un troncamento di numeri interi nella gestione delle richieste alle porte TCP non predefinite da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare l'invio remoto di specifici dati alle porte TCP arbitrarie. Questo problema viene risolto assicurandosi che i numeri delle porte si trovino all'interno del corretto intervallo.

  • WebKit

    ID CVE: CVE-2010-1409

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe consentire l'invio di determinati dati in remoto a un server IRC.

    Descrizione: le porte comuni per il servizio IRC non sono incluse nella lista nera delle porte di WebKit. L'accesso a un sito Web pericoloso potrebbe consentire l'invio di determinati dati in remoto a un server IRC. In questo modo, il server potrebbe svolgere azioni involontarie per conto dell'utente. Questo problema viene risolto aggiungendo le porte interessate alla lista nera delle porte di WebKit.

  • WebKit

    ID CVE: CVE-2010-1412

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione di eventi hover da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione degli eventi hover. Ringraziamo Dave Bowker di davebowker.com per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1413

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: le credenziali NTLM dell'utente possono essere esposte a un attacco man-in-the-middle.

    Descrizione: in alcuni casi, WebKit può inviare le credenziali NTLM in testo normale. Questo potrebbe esporre al rischio di un attacco man-in-the-middle per visualizzare le credenziali NTLM. Questo problema viene risolto tramite una migliore gestione delle credenziali NTLM. Ringraziamo Apple.

  • WebKit

    ID CVE: CVE-2010-1414

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione del metodo removeChild DOM da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione della rimozione di elementi vietati ai minori. Ringraziamo Mark Dowd di Azimuth Security per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1415

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di utilizzo improprio di API nella gestione di contesti libxml da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione degli elementi del contesto libxml. Ringraziamo Aki Helin di OUSPG per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1416

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso può causare la visualizzazione di immagini di altri siti.

    Descrizione: si verifica un problema di acquisizione di immagini cross-site in WebKit. Se si utilizza un'area di lavoro con un'immagine SVG, un sito Web pericoloso potrebbe essere in grado di caricare e acquisire un'immagine da un altro sito. Questo problema viene risolto limitando la lettura delle aree di lavoro contenenti modelli caricati da altri siti Web. Ringraziamo Chris Evans di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1417

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un danneggiamento della memoria nel rendering del contenuto HTML con stile CSS con diversi pseudo-selettori :after da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite un migliore rendering del contenuto HTML. Ringraziamo wushi di team509 per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1418

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: si verifica un problema di convalida dell'input nella gestione dell'attributo src dell'elemento frame da parte di WebKit. Un attributo con schema javascript e spazi iniziali è considerato valido. L'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site. Questo aggiornamento risolve il problema eseguendo la corretta convalida di frame.src prima che venga annullato il riferimento dell'URL. Ringraziamo Sergey Glazunov per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1419

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione di trascinamento e rilascio da parte di WebKit quando la finestra che si ritiene la fonte di un'operazione di trascinamento viene chiusa prima che tale operazione sia completata. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione della memoria. Ringraziamo kuzzcc e Skylined di Google Chrome Security Team per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1421

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe modificare i contenuti degli appunti.

    Descrizione: si verifica un problema di progettazione nell'implementazione della funzione execCommand di JavaScript. Una pagina Web pericolosa può modificare i contenuti degli appunti senza l'interazione dell'utente. Questo problema può essere risolto consentendo ai comandi degli appunti di essere eseguiti solo se avviati dall'utente. Ringraziamo Apple.

  • WebKit

    ID CVE: CVE-2010-0544

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso può causare un attacco di scripting cross-site.

    Descrizione: un problema nella gestione di URL non corretti da parte di WebKit può determinare un attacco di scripting cross-site quando si effettua l'accesso a un sito Web pericoloso. Questo problema viene risolto tramite una migliore gestione degli URL. Ringraziamo Michal Zalewski di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1758

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione degli oggetti DOM Range da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione degli oggetti DOM Range. Ringraziamo Yaar Schnitman di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1759

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione del metodo Node.normalize da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione del metodo Node.normalize. Ringraziamo Mark Dowd per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1761

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nel rendering della struttura dei documenti HTML da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite un migliore rendering della struttura dei documenti HTML. Ringraziamo James Robinson di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1762

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: si verifica un problema di progettazione nella gestione degli HTML presenti negli elementi dell'area di testo. L'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site. Questo problema viene risolto tramite una convalida migliorata degli elementi dell'area di testo. Ringraziamo Eduardo Vela Nava (sirdarckcat) di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1764

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso che reindirizza gli invii di moduli potrebbe comportare la divulgazione di informazioni.

    Descrizione: si verifica un problema di progettazione nella gestione dei reindirizzamenti HTTP da parte di WebKit. Quando l'invio di un modulo viene reindirizzato a un sito Web che a sua volta subisce un reindirizzamento, è possibile che le informazioni contenute nel modulo inviato vengano inoltrate a un terzo sito. Questo problema viene risolto tramite una migliore gestione dei reindirizzamenti HTTP. Ringraziamo Marc Worrell di WhatWebWhat per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1770

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di controllo nella gestione dei nodi di testo da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite un migliore controllo dei tipi. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1771

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione dei font da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione dei font. Ringraziamo Apple.

  • WebKit

    ID CVE: CVE-2010-1774

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di accesso alla memoria fuori dai limiti nella gestione delle tabelle HTML da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante un migliore controllo dei limiti. Ringraziamo wushi di team509 per aver segnalato il problema.

  • WebKit

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: un sito Web pericoloso potrebbe individuare i siti visitati dall'utente.

    Descrizione: si verifica un problema di progettazione nella gestione della pseudo-classe :visited CSS da parte di WebKit. Un sito Web pericoloso potrebbe individuare i siti visitati dall'utente. Questo aggiornamento limita la capacità delle pagine Web di progettare le pagine in base alla frequenza di accessi al link.

Nota: Safari 5.0 e Safari 4.1 presentano lo stesso insieme di problemi di sicurezza. Safari 5.0 è progettato per i sistemi Mac OS X v10.5, Mac OS X v10.6 e Microsoft Windows. Safari 4.1 è progettato per i sistemi Mac OS X v10.4.

Data di pubblicazione: