ALERT GCSA-07058 - Vulnerabilita' multiple in Apple Safari per
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-07058
Data : 18 Giugno 2007
Titolo : Vulnerabilita' in Apple Safari per Windows
******************************************************************
:: Descrizione del problema
Sono state identificate tre vulnerabilita' in Apple Safari per
Windows (di cui ricordiamo e' stata rilasciata una versione Beta).
Tali vulnerabilita' possono essere sfruttate da un aggressore
remoto per eseguire codice arbitrario e scripting.
La prima vulnerabilita' e' causata da un errore presente nel processo
di validazione delle URL, e se sfruttata puo' permettere ad un
attaccante remoto di immettere comandi arbitrario forzando l'utente
a visitare siti web malevoli appositamente predisposti.
La seconda vulnerabilita' e' causata da un errore in lettura della
memoria durante il processo di dati malformati, e se sfruttata puo'
permettere ad un attaccante remoto di compromettere un sistema
vulnerabile forzando l'utente a visitare siti web malevoli
appositamente predisposti.
La terza vulnerabilita' e' causata da una race condition durante il
processo di alcuni tipi di oggetti Javascript che puo' essere sfruttata
inducendo l'utente a visitare siti web appositamente predisposti al
fine di scavalcare le restrizioni di dominio ed accedere ai dati di
un altro dominio.
:: Software e piattaforme interessate
Apple Safari versione 3.0.0 Beta per Windows
:: Impatto:
Esecuzione di codice arbitrario e scripting in modalita' remota
:: Soluzione
Eseguire un aggiornamento alla versione 3.0.1 Public Beta per Windows
http://www.apple.com/safari/download/
:: Riferimenti
APPLE-SA-2007-06-14 Safari Beta 3.0.1 for Windows
http://lists.apple.com/archives/security-announce/2007/Jun/msg00000.html
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/24497
http://www.securityfocus.com/bid/24499
http://www.securityfocus.com/bid/24433
http://www.securityfocus.com/bid/24484
http://www.securityfocus.com/bid/24457
http://www.securityfocus.com/bid/24433
FrSirt
http://www.frsirt.com/english/advisories/2007/2192
Mitre's CVE ID
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3186
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3185
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2391
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRnZXnvOB+SpikaiRAQJXkAP+NdQFtDqKpRidXhEBA1C5BQx5QhFkQIEc
ouPYwLkfFsPQaQEBIcmGamXrv6PiRmFIxiCExmjANBCLMNZ00j747xyfhjkpD2A6
vWmlKbigPgfFFghtpzAsbAePbh7MvJddkNJx9m7j04lAWS3irdDokp4BNLVfAtRA
uEfo84S9dlc=
=Rqyf
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-07058
Data : 18 Giugno 2007
Titolo : Vulnerabilita' in Apple Safari per Windows
******************************************************************
:: Descrizione del problema
Sono state identificate tre vulnerabilita' in Apple Safari per
Windows (di cui ricordiamo e' stata rilasciata una versione Beta).
Tali vulnerabilita' possono essere sfruttate da un aggressore
remoto per eseguire codice arbitrario e scripting.
La prima vulnerabilita' e' causata da un errore presente nel processo
di validazione delle URL, e se sfruttata puo' permettere ad un
attaccante remoto di immettere comandi arbitrario forzando l'utente
a visitare siti web malevoli appositamente predisposti.
La seconda vulnerabilita' e' causata da un errore in lettura della
memoria durante il processo di dati malformati, e se sfruttata puo'
permettere ad un attaccante remoto di compromettere un sistema
vulnerabile forzando l'utente a visitare siti web malevoli
appositamente predisposti.
La terza vulnerabilita' e' causata da una race condition durante il
processo di alcuni tipi di oggetti Javascript che puo' essere sfruttata
inducendo l'utente a visitare siti web appositamente predisposti al
fine di scavalcare le restrizioni di dominio ed accedere ai dati di
un altro dominio.
:: Software e piattaforme interessate
Apple Safari versione 3.0.0 Beta per Windows
:: Impatto:
Esecuzione di codice arbitrario e scripting in modalita' remota
:: Soluzione
Eseguire un aggiornamento alla versione 3.0.1 Public Beta per Windows
http://www.apple.com/safari/download/
:: Riferimenti
APPLE-SA-2007-06-14 Safari Beta 3.0.1 for Windows
http://lists.apple.com/archives/security-announce/2007/Jun/msg00000.html
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/24497
http://www.securityfocus.com/bid/24499
http://www.securityfocus.com/bid/24433
http://www.securityfocus.com/bid/24484
http://www.securityfocus.com/bid/24457
http://www.securityfocus.com/bid/24433
FrSirt
http://www.frsirt.com/english/advisories/2007/2192
Mitre's CVE ID
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3186
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3185
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2391
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRnZXnvOB+SpikaiRAQJXkAP+NdQFtDqKpRidXhEBA1C5BQx5QhFkQIEc
ouPYwLkfFsPQaQEBIcmGamXrv6PiRmFIxiCExmjANBCLMNZ00j747xyfhjkpD2A6
vWmlKbigPgfFFghtpzAsbAePbh7MvJddkNJx9m7j04lAWS3irdDokp4BNLVfAtRA
uEfo84S9dlc=
=Rqyf
-----END PGP SIGNATURE-----