[macnv] IlSoftware.it - Nuove funzionalità in Apple Safari. Sanate le vulnerabilità

  • From: mario bonomi <mario_bonomi@xxxxxx>
  • To: Macnv <macnv@xxxxxxxxxxxxx>
  • Date: Thu, 29 Jul 2010 19:20:24 +0200

http://www.ilsoftware.it/articoli.asp?id=6450

Nuove funzionalità in Apple Safari. Sanate le vulnerabilità

Apple ha rilasciato un nuovo aggiornamento per Safari che giunge dunque alla 
versione 5.0.1. In quest'ultima release, i tecnici della società della mela 
hanno attivato le "Extensions", presentate nel mese di giugno ed indirizzate in 
modo specifico agli sviluppatori che possono aggiungere nuove funzionalità al 
browser purché sviluppate in Html5, Css3 e JavaScript.

Per aiutare gli utenti ad individuare le estensioni di maggiore interesse per 
loro, Safari integra anche una nuova "Extensions Gallery" consentendo in tal 
modo sia il dowload diretto, sia l'accesso al sito dello sviluppatore.

Tra le "Extensions" già sviluppate, una specifica nasce da Amazon.com che ha 
realizzato una "Amazon Wish List" per memorizzare i prodotti da acquistare o 
richiedere in regalo.
Parimenti disponibile una "Bing Extension" che porta la ricerca di Bing nella 
navigazione con Safari: selezionando una porzione di testo in Safari, Bing 
automaticamente effettua una ricerca sui termini individuati, mostrando 
suggerimenti e informazioni correlate.

Per le nuove Extensions, Safari attiva il meccanismo di "sandboxing" in modo 
tale da impedire eventuali modifiche indesiderate sul sistema dell'utente.

Gli aggiornamenti 5.0.1 e 4.1.1, appena resi disponibili, risolvono comunque 
anche una pericolosa vulnerabilità di sicurezza della quale avevamo dato 
notizia nei giorni scorsi (ved. questa pagina). Il problema risiede nel 
funzionamento dell'"autocompletamento" di Safari: un utente malintenzionato può 
infatti congeniare pagine web in grado di sottrarre informazioni personali del 
visitatore quali, ad esempio, le credenziali di accesso a siti e servizi online.
L'autore della scoperta, Jeremiah Grossman, aveva spiegato che l'attacco si 
concretizza allestendo una pagina web contenente una serie di campi con le 
"etichette" solitamente più utilizzate nei form di login o nei moduli di 
inserimento dati. Tali campi possono essere anche resi nascosti per non 
insospettire il malcapitato utente.
Preparando del semplice codice JavaScript, Grossman è riuscito a recuperare 
molti dati personali inseriti dall'utente in altri form online. Il codice 
JavaScript "maligno" provvede a digitare automaticamente alcune combinazioni di 
caratteri in ciascun campo attendendo le eventuali risposte fornite dalla 
funzionalità di completamento automatico del browser.

Le due nuove versioni risolvono poi, complessivamente, 15 vulnerabilità di 
sicurezza la maggior parte delle quali (13) legate al motore di rendering delle 
pagine (WebKit).

Safari 5.0.1 è disponibile per il download nelle versioni per Mac OS X 10.5.8 
Leopard, 10.6.2 Snow Leopard e Windows.

Other related posts:

  • » [macnv] IlSoftware.it - Nuove funzionalità in Apple Safari. Sanate le vulnerabilità - mario bonomi