Alert GCSA-07060 - Vulnerabilita' multiple in Apple Mac OS X (Security
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
*****************************************************************************
Alert ID : GCSA-07060
Data : 25 Giugno 2007
Titolo : Vulnerabilita' multiple in Apple Mac OS X
(Security Update 2007-006)
*****************************************************************************
:: Descrizione del problema:
Sono state riscontrate due vulnerabilita' nel sistema operativo
Mac OS X (versioni 10.3.9 e 10.4.9):
1 (CVE-2007-2401)
Vulnerabilita' in WebCore - dovuta ad un errore di validazione dell'input
nella gestione degli headers di richieste HTTP passati all'oggetto "XMLHttpRequest".
Tale falla potrebbe essere sfruttata per provocare attacchi di tipo cross-site
scripting, inducendo un utente a visitare un sito web malevolo.
2 (CVE-2007-2399)
Vulnerabilita' in WebKit - dovuta ad errore di tipo invalid type conversion
durante il rendering di frame set. Tale falla potrebbe essere sfruttata da un
attaccante per eseguire codice arbitrario o per interrompere l'esecuzione
dell'applicazione (Safari), inducendo un utente a visitare un sito web malevolo.
:: Piattaforme e Software interessati:
- - Apple Mac OS X versione 10.3.9
- - Apple Mac OS X Server versione 10.3.9
- - Apple Mac OS X versione 10.4.9
- - Apple Mac OS X Server versione 10.4.9
:: Impatto:
- - Cross Site Scripting
- - Esecuzione remota di codice arbitrario
:: Soluzione:
Applicare l'Apple Security Update 2007-006 attraverso lo strumento
Apple Update o da Apple Downloads:
http://www.apple.com/support/downloads/
:: Riferimenti:
Apple - About Security Update 2007-006:
http://docs.info.apple.com/article.html?artnum=305759
FrSirt:
http://www.frsirt.com/english/advisories/2007/2296
Secunia:
http://secunia.com/advisories/25786/
US-CERT:
http://www.kb.cert.org/vuls/id/845708
http://www.kb.cert.org/vuls/id/389868
Mitre's CVE ID:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2401
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2399
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRn+43POB+SpikaiRAQK/zwP+JcJaZPd9nNIL9YY4AcPocuKPlnBuxFZd
rvmx7Jp/Yv70JIGcaD/Qvdl/1N5nDJPvOAhrmdGz1F/6W/NolH8qTxdOdmLRzflf
glgyWFfmkCDvb0xDMO3A7QtCDK875xvs+VXm0w3WtjPdERPe4PA13cc4G3PKOAGh
65nVgSGwD2w=
=VCF0
-----END PGP SIGNATURE-----
Hash: SHA1
*****************************************************************************
Alert ID : GCSA-07060
Data : 25 Giugno 2007
Titolo : Vulnerabilita' multiple in Apple Mac OS X
(Security Update 2007-006)
*****************************************************************************
:: Descrizione del problema:
Sono state riscontrate due vulnerabilita' nel sistema operativo
Mac OS X (versioni 10.3.9 e 10.4.9):
1 (CVE-2007-2401)
Vulnerabilita' in WebCore - dovuta ad un errore di validazione dell'input
nella gestione degli headers di richieste HTTP passati all'oggetto "XMLHttpRequest".
Tale falla potrebbe essere sfruttata per provocare attacchi di tipo cross-site
scripting, inducendo un utente a visitare un sito web malevolo.
2 (CVE-2007-2399)
Vulnerabilita' in WebKit - dovuta ad errore di tipo invalid type conversion
durante il rendering di frame set. Tale falla potrebbe essere sfruttata da un
attaccante per eseguire codice arbitrario o per interrompere l'esecuzione
dell'applicazione (Safari), inducendo un utente a visitare un sito web malevolo.
:: Piattaforme e Software interessati:
- - Apple Mac OS X versione 10.3.9
- - Apple Mac OS X Server versione 10.3.9
- - Apple Mac OS X versione 10.4.9
- - Apple Mac OS X Server versione 10.4.9
:: Impatto:
- - Cross Site Scripting
- - Esecuzione remota di codice arbitrario
:: Soluzione:
Applicare l'Apple Security Update 2007-006 attraverso lo strumento
Apple Update o da Apple Downloads:
http://www.apple.com/support/downloads/
:: Riferimenti:
Apple - About Security Update 2007-006:
http://docs.info.apple.com/article.html?artnum=305759
FrSirt:
http://www.frsirt.com/english/advisories/2007/2296
Secunia:
http://secunia.com/advisories/25786/
US-CERT:
http://www.kb.cert.org/vuls/id/845708
http://www.kb.cert.org/vuls/id/389868
Mitre's CVE ID:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2401
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2399
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRn+43POB+SpikaiRAQK/zwP+JcJaZPd9nNIL9YY4AcPocuKPlnBuxFZd
rvmx7Jp/Yv70JIGcaD/Qvdl/1N5nDJPvOAhrmdGz1F/6W/NolH8qTxdOdmLRzflf
glgyWFfmkCDvb0xDMO3A7QtCDK875xvs+VXm0w3WtjPdERPe4PA13cc4G3PKOAGh
65nVgSGwD2w=
=VCF0
-----END PGP SIGNATURE-----