Informazioni sul contenuto di sicurezza di Safari 5.0.1 e 4.1.1

In questo documento viene illustrato il contenuto di sicurezza di Safari 5.0.1 e 4.1.1.

Per proteggere i propri clienti, Apple non divulga né contesta o conferma alcun problema relativo alla sicurezza finché non è stata eseguita un'indagine approfondita e non sono stati resi disponibili aggiornamenti e correzioni necessari. Per ulteriori informazioni al riguardo, è possibile consultare il sito Web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo "Come utilizzare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, per ulteriori informazioni relative alle vulnerabilità vengono utilizzati gli ID CVE.

Per ulteriori informazioni sugli aggiornamenti di sicurezza, fai riferimento all'articolo "Aggiornamenti di sicurezza Apple".

Safari 5.0.1 e Safari 4.1.1

  • Safari

    ID CVE: CVE-2010-1778

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un feed RSS pericoloso può causare l'invio dei documenti dal sistema dell'utente a un server remoto.

    Descrizione: problema di cross-site scripting nella gestione dei feed RSS da parte di Safari. L'accesso a un feed RSS pericoloso può causare l'invio dei documenti dal sistema dell'utente a un server remoto. Il problema è stato risolto sviluppando la gestione dei feed RSS. Ringraziamo Billy Rios del Google Security Team per aver segnalato il problema.

  • Safari

    ID CVE: CVE-2010-1796

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: la funzione Riempimento automatico di Safari può divulgare informazioni a siti Web senza il consenso dell'utente.

    Descrizione: la funzione Riempimento automatico di Safari può compilare automaticamente moduli Web utilizzando determinate informazioni presenti in Rubrica Indirizzi per Mac OS X, Outlook o Rubrica di Windows. Per impostazione predefinita, è necessaria un'azione dell'utente per consentire ad Riempimento automatico di interagire con un modulo Web. Un problema di implementazione consente a un sito Web pericoloso di attivare Riempimento automatico senza l'interazione dell'utente. Il problema può causare la divulgazione delle informazioni contenute nella scheda dell'utente in Rubrica Indirizzi. Il problema si può presentare se si verificano le seguenti condizioni. Nelle Preferenze di Safari, nella scheda Riempimento automatico, la casella di controllo "Utilizza informazioni dalla mia scheda Rubrica Indirizzi" è selezionata. In Rubrica Indirizzi è presente una scheda designata come "La mia scheda". Solo le informazioni della specifica scheda possono essere utilizzate da Riempimento automatico. Il problema è stato risolto proibendo a Riempimento automatico di utilizzare le informazioni senza l'autorizzazione dell'utente. Il problema non riguarda i dispositivi con iOS. Ringraziamo Jeremiah Grossman di WhiteHat Security per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1780

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: problema di tipo utilizzo dopo free nella gestione della messa a fuoco degli elementi da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto sviluppando la gestione della messa a fuoco degli elementi. Ringraziamo Tony Chang di Google, Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1782

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: problema di corruzione della memoria nella resa degli elementi HTML da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante un migliore controllo dei limiti. Ringraziamo wushi di team509 per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1783

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: problema di corruzione della memoria nella gestione delle modifiche dinamiche ai nodi di testo da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione della memoria.

  • WebKit

    ID CVE: CVE-2010-1784

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: problema di corruzione della memoria nella gestione dei contatori CSS da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione della memoria. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1785

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: problema di accesso alla memoria non inizializzata nella gestione degli pseudo elementi :first-letter e :first-line negli elementi di testo SVG da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto eliminando la resa degli pseudo elementi :first-letter o :first-line negli elementi di testo SVG. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1786

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: problema di tipo utilizzo dopo free nella gestione degli elementi foreignObject nei documenti SVG da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto aggiungendo un'ulteriore convalida dei documenti SVG. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1787

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: problema di corruzione della memoria nella gestione degli elementi mobili nei documenti SVG da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione della memoria. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1788

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: problema di corruzione della memoria nella gestione degli elementi "use" nei documenti SVG da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione degli elementi "use" nei documenti SVG. Ringraziamo Justin Schuh di Google, Inc. per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1789

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: overflow del buffer di heap nella gestione delle stringhe JavaScript da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante un migliore controllo dei limiti. Ringraziamo Apple.

  • WebKit

    ID CVE: CVE-2010-1790

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: problema di rientranza nella gestione degli stub JavaScript compilati con just-in-time da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto sviluppando la sincronizzazione.

  • WebKit

    ID CVE: CVE-2010-1791

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: problema signedness nella gestione delle matrici JavaScript da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto sviluppando la gestione degli indici di matrice JavaScript. Ringraziamo Natalie Silvanovich per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1792

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: problema di corruzione della memoria nella gestione delle espressioni regolari da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto sviluppando la gestione delle espressioni regolari. Ringraziamo Peter Varga dell'University of Szeged per aver segnalato il problema.

  • WebKit

    ID CVE: CVE-2010-1793

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versioni più recenti, Mac OS X Server v10.6.2 o versioni più recenti, Windows 7, Vista, XP SP2 o versioni più recenti.

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: problema di tipo utilizzo dopo free nella gestione degli elementi "font-face" e "use" nei documenti SVG da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto sviluppando la gestione degli elementi "font-face" e "use" nei documenti SVG. Ringraziamo Aki Helin di OUSPG per aver segnalato il problema.

Data di pubblicazione: