Alert GCSA-07061 - Vulnerabilita' multiple in Apple Safari per
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
*****************************************************************************
Alert ID : GCSA-07061
Data : 27 Giugno 2007
Titolo : Vulnerabilita' multiple in Apple Safari per Windows
*****************************************************************************
:: Descrizione del problema:
Sono state riscontrate quattro vulnerabilita' in Apple Safari per Windows.
La prima vulnerabilita' e' dovuta ad un errore durante la gestione di
richieste di pagine web, e potrebbe permettere ad una pagina web malevola di
modificare i contenuti della barra degli indirizzi, senza caricare i contenuti
della pagina corrispondente.
La seconda vulnerabilita' e' dovuta ad una race condition nell'aggiornamento
di pagina, che potrebbe essere unita ad una redirezione HTTP per permettere
l'esecuzione di JavaScript da una pagina, e condurre attacchi di tipo
cross-site scripting.
La terza vulnerabilita' e' dovuta ad un errore in XMLHttpRequest durante la
gestione degli headers di richieste HTTP, e potrebbe essere sfruttata per
provocare attacchi di tipo cross-site scripting, inducendo un utente a
visitare un sito web malevolo.
La quarta vulnerabilita' e' dovuta ad un errore di tipo invalid type
conversion in WebKit durante il rendering di frame set, e potrebbe essere
sfruttata per compromettere un sistema che ne sia affetto, inducendo un utente
a visitare un sito web malevolo.
:: Piattaforme e Software interessati:
Apple Safari per Windows versione Beta 3.0.1 e precedenti
:: Impatto:
- - Cross Site Scripting
- - Esecuzione remota di comandi arbitrari
- - Data Spoofing
:: Soluzione:
Aggiornare Safari per Windows alla versione 3.0.2 Public Beta:
http://www.apple.com/safari/download/
:: Riferimenti:
FrSIRT:
http://www.frsirt.com/english/advisories/2007/2316
Apple Mailing Lists:
http://lists.apple.com/archives/security-announce/2007/Jun/msg00004.html
Mitre's CVE ID:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2398
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2399
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2400
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2401
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRoJhnPOB+SpikaiRAQK1xgP/UHHvnwPm5+cmjq+rRRauzWQIhKvjiima
nUzvhd8kkr92Vo0ErBlPT+8Ny8w3lY8KiF1KDa8Qiv2VwLvHGmHqFPTNv+8Wf2hA
SCoVwYKe9r9VVxLZXZQwZCcOoYK/kDHqGhC9eMdGDIl8cpilUySOMsrwTlP7Cnx6
Y0IjVu40qyM=
=LeUw
-----END PGP SIGNATURE-----
Hash: SHA1
*****************************************************************************
Alert ID : GCSA-07061
Data : 27 Giugno 2007
Titolo : Vulnerabilita' multiple in Apple Safari per Windows
*****************************************************************************
:: Descrizione del problema:
Sono state riscontrate quattro vulnerabilita' in Apple Safari per Windows.
La prima vulnerabilita' e' dovuta ad un errore durante la gestione di
richieste di pagine web, e potrebbe permettere ad una pagina web malevola di
modificare i contenuti della barra degli indirizzi, senza caricare i contenuti
della pagina corrispondente.
La seconda vulnerabilita' e' dovuta ad una race condition nell'aggiornamento
di pagina, che potrebbe essere unita ad una redirezione HTTP per permettere
l'esecuzione di JavaScript da una pagina, e condurre attacchi di tipo
cross-site scripting.
La terza vulnerabilita' e' dovuta ad un errore in XMLHttpRequest durante la
gestione degli headers di richieste HTTP, e potrebbe essere sfruttata per
provocare attacchi di tipo cross-site scripting, inducendo un utente a
visitare un sito web malevolo.
La quarta vulnerabilita' e' dovuta ad un errore di tipo invalid type
conversion in WebKit durante il rendering di frame set, e potrebbe essere
sfruttata per compromettere un sistema che ne sia affetto, inducendo un utente
a visitare un sito web malevolo.
:: Piattaforme e Software interessati:
Apple Safari per Windows versione Beta 3.0.1 e precedenti
:: Impatto:
- - Cross Site Scripting
- - Esecuzione remota di comandi arbitrari
- - Data Spoofing
:: Soluzione:
Aggiornare Safari per Windows alla versione 3.0.2 Public Beta:
http://www.apple.com/safari/download/
:: Riferimenti:
FrSIRT:
http://www.frsirt.com/english/advisories/2007/2316
Apple Mailing Lists:
http://lists.apple.com/archives/security-announce/2007/Jun/msg00004.html
Mitre's CVE ID:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2398
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2399
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2400
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2401
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRoJhnPOB+SpikaiRAQK1xgP/UHHvnwPm5+cmjq+rRRauzWQIhKvjiima
nUzvhd8kkr92Vo0ErBlPT+8Ny8w3lY8KiF1KDa8Qiv2VwLvHGmHqFPTNv+8Wf2hA
SCoVwYKe9r9VVxLZXZQwZCcOoYK/kDHqGhC9eMdGDIl8cpilUySOMsrwTlP7Cnx6
Y0IjVu40qyM=
=LeUw
-----END PGP SIGNATURE-----