Questo articolo è stato archiviato e non viene più aggiornato da Apple.

Informazioni sui contenuti di sicurezza di Safari 5.0 e Safari 4.1

In questo documento vengono descritti i contenuti di sicurezza di Safari 5.0 e Safari 4.1.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo “Come usare la chiave PGP per la sicurezza dei prodotti Apple”.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo che parla degli aggiornamenti di sicurezza Apple.

Safari 5.0

  • ColorSync

    CVE-ID: CVE-2009-1726

    Disponibile per: Windows 7, Vista, XP SP2 o versioni successive

    Impatto: la visualizzazione di un'immagine dannosa con un profilo ColorSync incorporato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer di heap nella gestione delle immagini con un profilo ColorSync incorporato. L'apertura di un'immagine pericolosa con un profilo ColorSync incorporato può causare una chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore convalida dei profili ColorSync Ringraziamo Chris Evans del Google Security Team e Andrzej Dyjak per aver segnalato il problema.

  • ImageIO

    CVE-ID: CVE-2010-1411

    Disponibile per: Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'apertura di un file TIFF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: diversi overflow di numeri interi nella gestione dei file TIFF possono causare un overflow del buffer di heap. L'apertura di un file TIFF dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto attraverso un migliore controllo dei limiti. Ringraziamo Kevin Finisterre di digitalmunition.com per aver segnalato i problemi.

  • Safari

    ID CVE: CVE-2010-1384

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: un URL dannoso potrebbe essere offuscato, rendendo più efficaci gli attacchi di phishing.

    Descrizione: Safari supporta l'inclusione delle informazioni dell'utente negli URL, il che consente all'URL di specificare un nome utente e la password per autenticare l'utente su un determinato server. Questi URL spesso vengono usati per confondere gli utenti e possono favorire potenzialmente gli attacchi di phishing. Safari è stato aggiornato per mostrare un avviso prima di accedere a un URL HTTP o HTTPS che contiene informazioni sull'utente. Ringraziamo Abhishek Arya di Google, Inc. per aver segnalato questo problema.

  • Safari

    ID CVE: CVE-2010-1385

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione dei file PDF da parte di Safari. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto mediante una migliore gestione dei file PDF. Ringraziamo Borja Marcos di Sarenet per aver segnalato questo problema.

  • Safari

    ID CVE: CVE-2010-1750

    Disponibile per: Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario

    Descrizione: si verifica un problema di tipo use-after-free nella gestione delle finestre di Safari. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso una migliore gestione delle finestre. Questo problema non interessa i sistemi Mac OS X.

  • WebKit

    ID CVE: CVE-2010-1388

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive

    Impatto: l'azione di trascinare o incollare link o immagini può comportare la divulgazione di informazioni.

    Descrizione: si verifica un problema di implementazione nella gestione degli URL da parte di WebKit negli appunti. L'accesso a un sito dannoso e l'azione di trascinare o incollare link o immagini potrebbe inviare file dal sistema dell'utente a un server remoto. Questo problema è stato risolto attraverso l'ulteriore convalida degli URL negli appunti. Questo problema non interessa i sistemi Windows. Ringraziamo Eric Seidel di Google, Inc. per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1389

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'azione di trascinare o incollare una selezione può comportare un attacco di scripting cross-site.

    Descrizione: l'azione di trascinare o incollare una selezione da un sito all'altro può consentire l'esecuzione degli script contenuti nella selezione nel contesto del nuovo sito. Questo problema è stato risolto attraverso una convalida aggiuntiva dei contenuti prima di un'operazione drag and drop della selezione. Ringraziamo Paul Stone di Context Information Security per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1390

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web con codifica UTF-7 può comportare un attacco di scripting cross-site.

    Descrizione: si verifica un problema di canonicalizzazione nella gestione del testo con codifica UTF-7 da parte di WebKit. Una stringa quotata HTML può essere lasciata non terminata, causando un attacco di scripting cross-site o altri problemi. Questo problema è stato risolto rimuovendo il supporto per la codifica UTF-7 in WebKit. Ringraziamo Masahiro Yamada per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1391

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la creazione di file in posizioni scrivibili dall'utente.

    Descrizione: si verifica un problema di trasversalità dei percorsi nel supporto da parte di WebKit per i database Local Storage e Web SQL. Se l'accesso avviene da uno schema definito dall'applicazione contenente “%2f” (/) o “%5c” (\) e “..” nella sezione host dell'URL, un sito web dannoso può causare la creazione di file del database al di fuori della directory designata. Questo problema è stato risolto codificando i caratteri che possono avere significati speciali nei nomi dei percorsi. Il problema non interessa i siti pubblicati da schemi http: o https:. Ringraziamo Apple.

  • WebKit

    ID CVE: CVE-2010-1392

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive.

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nell'elaborazione dei pulsanti HTML da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso una migliore gestione della memoria. Ringraziamo Matthieu Bonetti di VUPEN Vulnerability Research Team e wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1393

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la divulgazione di informazioni.

    Descrizione: si verifica un problema di divulgazione delle informazioni nella gestione di Cascading Style Sheets in WebKit. Se l'attributo HREF di un foglio di stile è impostato su un URL che causa un reindirizzamento, gli script sulla pagina potrebbero essere in grado di accedere all'URL reindirizzato. L'accesso a un sito web dannoso può causare la divulgazione di URL sensibili su un altro sito. Questo problema è stato risolto restituendo agli script l'URL originale, anziché quello reindirizzato.

  • WebKit

    ID CVE: CVE-2010-1119

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 o versioni successive, Mac OS X Server 10.6.1 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione della manipolazione degli attributi da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore tracciamento del riferimento della memoria. Ringraziamo Vincenzo Iozzo e Ralf Philipp Weinmann in collaborazione con Zero Day Initiative di TippingPoint e Michal Zalewski di Google per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1394

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può comportare un attacco di scripting cross-site.

    Descrizione: si verifica un problema di progettazione nella gestione dei frammenti di documenti HTML da parte di WebKit. I contenuti dei frammenti di documenti HTML vengono elaborati prima che un frammento venga effettivamente aggiunto a un documento. L'accesso a un sito web dannoso potrebbe comportare un attacco di scripting cross-site se un sito web legittimo tenta di manipolare un frammento di documento contenente dati non affidabili. Questo problema è stato risolto facendo in modo che l'analisi iniziale del frammento non abbia effetti collaterali sul documento che ha creato il frammento. Ringraziamo Eduardo Vela Nava (sirdarckcat) di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1422

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'interazione con un sito web dannoso può causare la divulgazione di informazioni.

    Descrizione: si verifica un problema di implementazione nella gestione del focus della tastiera in WebKit. Se il focus della tastiera cambia durante l'elaborazione della pressione dei tasti, WebKit potrebbe inviare un evento al nuovo frame oggetto di focus, invece che al frame che aveva il focus quando è stato premuto il tasto. Un sito web dannoso può essere in grado di manipolare un utente inducendolo a intraprendere un'azione inaspettata, come l'avvio di un acquisto. Questo problema è stato risolto impedendo l'invio di eventi di pressione dei tasti se il focus della tastiera cambia durante l'elaborazione. Ringraziamo Michal Zalewski di Google, Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1395

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può comportare un attacco di scripting cross-site.

    Descrizione: si verifica un problema di gestione dell'ambito nella gestione degli oggetti costruttori DOM da parte di WebKit. L'accesso a un sito web dannoso può comportare un attacco di scripting cross-site. Questo problema è stato risolto mediante una migliore gestione degli oggetti costruttori DOM. Ringraziamo Gianni “gf3” Chiappetta di Runlevel6 per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1396

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione della rimozione degli elementi contenitore da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore tracciamento del riferimento della memoria. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1397

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella resa di una selezione da parte di WebKit quando il layout cambia. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso una migliore gestione delle selezioni. Ringraziamo wushi&Z di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1398

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione degli inserimenti di elenchi ordinati da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso una migliore gestione degli inserimenti di elenchi. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1399

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione delle modifiche alla selezione degli elementi di input dei moduli da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso una migliore gestione delle selezioni. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1400

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni successive, Mac OS X Server v10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione degli elementi di didascalia da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso una migliore gestione degli elementi di didascalia. Ringraziamo wushi di team509 in collaborazione con iDefense per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1401

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione dello pseudo-elemento “:first-letter” da parte di WebKit in Cascading Style Sheets. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto con una migliore gestione dello pseudo-elemento “:first-letter”. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato questo problema.

  • WebKit

    ID CVE: ID CVE: CVE-2010-1402

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di double free nella gestione dei listener di eventi da parte di WebKit nei documenti SVG. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto mediante una migliore gestione dei documenti SVG. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1403

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione degli elementi “use” da parte di WebKit nei documenti SVG. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso la migliore gestione degli elementi “use” nei documenti SVG. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato il problema.

  • WebKit

    CVE-ID: CVE-2010-1404

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione degli elementi da parte di WebKit con più elementi “use”. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso la migliore gestione degli elementi “use” nei documenti SVG. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1410

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni successive, Mac OS X Server v10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione degli elementi “use” annidati da parte di WebKit nei documenti SVG. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso la migliore gestione degli elementi “use” annidati nei documenti SVG. Ringraziamo Aki Helin di OUSPG per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1749

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione dei run-in CSS da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto migliorando la gestione dei run-in CSS. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato questo problema.

  • WebKit

    CVE-ID: CVE-2010-1405

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione da parte di WebKit degli elementi HTML con posizionamento verticale personalizzato. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore tracciamento del riferimento della memoria. Ringraziamo Ojan Vafai di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1406

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web HTTPS che reindirizza a un sito HTTP può causare la divulgazione di informazioni.

    Descrizione: quando WebKit viene reindirizzato da un sito HTTPS a un sito HTTP, l'intestazione del referer viene trasmessa al sito HTTP. Questo può causare la divulgazione di informazioni sensibili contenute nell'URL del sito HTTPS. Questo problema è stato risolto evitando la trasmissione dell'intestazione del referer quando un sito HTTPS reindirizza a un sito HTTP. Ringraziamo Colin Percival di Tarsnap per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1408

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare l'invio di dati specificati in remoto a porte TCP arbitrarie.

    Descrizione: si verifica un problema di troncamento dei numeri interi nella gestione da parte di WebKit delle richieste a porte TCP non predefinite. L'accesso a un sito web dannoso può causare l'invio di dati specificati in remoto a porte TCP arbitrarie. Questo problema è stato risolto assicurando che i numeri delle porte siano nell'intervallo valido.

  • WebKit

    ID CVE: CVE-2010-1409

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può consentire l'invio di dati specificati in remoto a un server IRC.

    Descrizione: le porte dei servizi IRC comuni non sono incluse nella lista nera delle porte di WebKit. L'accesso a un sito web dannoso può consentire l'invio di dati specificati in remoto a un server IRC. Di conseguenza, è possibile che il server esegua azioni impreviste per conto dell'utente. Questo problema è stato risolto aggiungendo le porte interessate nell'apposita lista nera di WebKit.

  • WebKit

    ID CVE: CVE-2010-1412

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione degli eventi hover da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto mediante una migliore gestione degli eventi hover. Ringraziamo Dave Bowker di davebowker.com per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1413

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: le credenziali NTLM di un utente possono essere esposte a un utente malintenzionato “man in the middle”.

    Descrizione: in alcune circostanze, WebKit può inviare le credenziali NTLM come testo normale. Questo potrebbe consentire a un utente malintenzionato “man in the middle” di visualizzare le credenziali NTLM. Questo problema è stato risolto attraverso una migliore gestione delle credenziali NTLM. Ringraziamo Apple.

  • WebKit

    ID CVE: CVE-2010-1414

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione del metodo removeChild DOM da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso una migliore gestione della rimozione dell'elemento secondario. Ringraziamo Mark Dowd di Azimuth Security per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1415

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server v10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di uso improprio API nella gestione dei contesti libxml da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso una migliore gestione degli oggetti di contesto libxml. Ringraziamo Aki Helin di OUSPG per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1416

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la divulgazione di immagini da altri siti.

    Descrizione: si verifica un problema di acquisizione di immagini cross-site in WebKit. Utilizzando un'area di lavoro con un motivo immagine SVG, un sito dannoso può caricare e acquisire un'immagine da un altro sito web. Questo problema è stato risolto restringendo la lettura delle aree di lavoro che contengono motivi caricati da altri siti web. Ringraziamo Chris Evans di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1417

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione di contenuti HTML in stile CSS con pseudo-selettori multipli :after da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto migliorando il rendering dei contenuti HTML. Ringraziamo wushi di team509 per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1418

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può comportare un attacco di scripting cross-site.

    Descrizione: si verifica un problema di convalida dell'input nella gestione dell'attributo src dell'elemento frame da parte di WebKit. Un attributo con schema javascript e spazi iniziali viene considerato valido. L'accesso a un sito web dannoso potrebbe causare un attacco di scripting cross-site. Questo aggiornamento risolve il problema convalidando correttamente frame.src prima che l'URL venga dereferenziato. Ringraziamo Sergey Glazunov per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1419

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione del trascinamento da parte di WebKit quando la finestra che funge da sorgente di un'operazione di trascinamento viene chiusa prima del completamento dell'operazione. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso una migliore gestione della memoria. Ringraziamo kuzzcc e Skylined di Google Chrome Security Team per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1421

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può modificare i contenuti degli appunti.

    Descrizione: si verifica un problema di progettazione nell'implementazione della funzione JavaScript execCommand. Una pagina web pericolosa può modificare i contenuti degli appunti senza interazione dell'utente. Questo problema è stato risolto consentendo l'esecuzione dei comandi degli appunti solo se avviati dall'utente. Ringraziamo Apple.

  • WebKit

    ID CVE: CVE-2010-0544

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può comportare un attacco di scripting cross-site.

    Descrizione: un problema nella gestione di URL non conformi da parte di Webkit può provocare un attacco di scripting cross-site quando si accede a un sito web dannoso. Questo problema è stato risolto attraverso una migliore gestione degli URL. Ringraziamo Michal Zalewski di Google, Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1758

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione degli oggetti DOM Range da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso una migliore gestione degli oggetti DOM Range. Ringraziamo Yaar Schnitman di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1759

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni successive, Mac OS X Server v10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione del metodo Node.normalize da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso una migliore gestione del metodo Node.normalize. Ringraziamo Mark Dowd per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1761

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni successive, Mac OS X Server v10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione delle strutture secondarie dei documenti da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto migliorando il rendering delle strutture secondarie dei documenti HTML. Ringraziamo James Robinson di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1762

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può comportare un attacco di scripting cross-site.

    Descrizione: si verifica un problema di progettazione nella gestione dell'HTML contenuto negli elementi textarea. L'accesso a un sito web dannoso può comportare un attacco di scripting cross-site. Questo problema è stato risolto mediante una migliore convalida degli elementi textarea. Ringraziamo Eduardo Vela Nava (sirdarckcat) di Google Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1764

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web che reindirizza l'invio di moduli può portare alla divulgazione di informazioni.

    Descrizione: si verifica un problema di progettazione nella gestione dei reindirizzamenti HTTP da parte di WebKit. Quando l'invio di un modulo viene reindirizzato a un sito web che a sua volta compie un reindirizzamento, le informazioni contenute nel modulo inviato possono essere inviate al sito terzo. Questo problema è stato risolto mediante una migliore gestione dei reindirizzamenti HTTP. Ringraziamo Marc Worrell of WhatWebWhat per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1770

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di controllo dei tipi nella gestione dei nodi di testo da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso un migliore controllo dei tipi. Ringraziamo wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint per aver segnalato questo problema.

  • WebKit

    ID CVE: CVE-2010-1771

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni successive, Mac OS X Server v10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione dei font da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso una migliore gestione dei font. Ringraziamo Apple.

  • WebKit

    ID CVE: CVE-2010-1774

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: l'accesso a un sito web dannoso può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di accesso alla memoria fuori dai limiti nella gestione delle tabelle HTML da parte di WebKit. L'accesso a un sito web pericoloso può provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso un migliore controllo dei limiti. Ringraziamo wushi di team509 per aver segnalato questo problema.

  • WebKit

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 o versioni successive, Mac OS X Server 10.6.2 o versioni successive, Windows 7, Vista, XP SP2 o versioni successive

    Impatto: un sito web dannoso può determinare quali siti ha visitato l'utente.

    Descrizione: si verifica un problema di progettazione nella gestione della pseudo-classe CSS :visited da parte di WebKit. Un sito web dannoso può determinare quali siti ha visitato l'utente. Questo aggiornamento limita la capacità delle pagine web di creare uno stile in base alla visita dei link.

Nota: Safari 5.0 e Safari 4.1 presentano gli stessi problemi di sicurezza. Safari 5.0 è fornito sui sistemi Mac OS X 10.5, Mac OS X 10.6 e Microsoft Windows. Safari 4.1 è fornito sui sistemi Mac OS X 10.4.

Importante: le informazioni sui prodotti non realizzati da Apple vengono fornite solo a scopo informativo e non costituiscono raccomandazione né approvazione da parte di Apple. Per ulteriori informazioni, contatta il fornitore.

Data di pubblicazione: