Informazioni sul contenuto di sicurezza di OS X Lion 10.7.3 e sull'aggiornamento di sicurezza 2012-001

In questo documento vengono descritti il contenuto di sicurezza di OS X Lion 10.7.3 e l'aggiornamento di sicurezza 2012-001.

In questo documento vengono descritti il contenuto di sicurezza di OS X Lion 10.7.3 e l'aggiornamento di sicurezza 2012-001, che possono essere scaricati e installati tramite le preferenze di Aggiornamento Software o dalla pagina dei download di Apple.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo "Aggiornamenti di sicurezza Apple".
 

OS X Lion 10.7.3 e aggiornamento di sicurezza 2012-001

  • Rubrica Indirizzi

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.2, OS X Lion Server dalla versione 10.7 alla versione 10.7.2

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe intercettare i dati CardDAV.

    Descrizione: Rubrica Indirizzi supporta Secure Sockets Layer (SSL) per l'accesso a CardDAV. Un problema di downgrade causava un tentativo di connessione non crittografata di Rubrica Indirizzi in caso di connessione crittografata non riuscita. Un malintenzionato con una posizione privilegiata in rete poteva abusare di questo comportamento per intercettare i dati CardDAV. Questo problema è stato risolto evitando di eseguire il downgrade per una connessione non crittografata senza l'approvazione dell'utente.

    CVE-ID

    CVE-2011-3444: Bernard Desruisseaux di Oracle Corporation

  • Apache

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: diversi problemi di vulnerabilità in Apache.

    Descrizione: l'aggiornamento di Apache alla versione 2.2.21 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali potrebbe portare all'interruzione del servizio. Per ulteriori informazioni, consulta il sito web di Apache all'indirizzo http://httpd.apache.org/.

    CVE-ID

    CVE-2011-3348

  • Apache

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: un malintenzionato potrebbe essere in grado di decodificare i dati protetti con SSL.

    Descrizione: esistono noti attacchi sulla riservatezza di SSL 3.0 e TLS 1.0 quando una suite di codice utilizza un codice di blocco nella modalità CBC. Apache ha disabilitato il "frammento vuoto" come contromisura per evitare questi attacchi. Questo problema viene risolto fornendo un parametro di configurazione per controllare la contromisura e abilitarla di default.

    CVE-ID

    CVE-2011-3389

  • ATS

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: l'apertura di un font pericoloso in Libro Font potrebbe comportare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di gestione della memoria nella gestione dei file font di dati di ATS quando venivano aperti tramite Libro Font.

    CVE-ID

    CVE-2011-3446: Will Dormann di CERT/CC

  • CFNetwork

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.2, OS X Lion Server dalla versione 10.7 alla versione 10.7.2

    Impatto: la visita a un sito web pericoloso potrebbe comportare la divulgazione di dati sensibili.

    Descrizione: si verificava un problema nella gestione di URL non corretti da parte di CFNetwork. In caso di accesso a un URL pericoloso, CFNetwork poteva inviare la richiesta a un server di origine non corretto. Questo problema non riguarda i sistemi precedenti a OS X Lion.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen di Facebook

  • CFNetwork

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.2, OS X Lion Server dalla versione 10.7 alla versione 10.7.2

    Impatto: la visita a un sito web pericoloso potrebbe comportare la divulgazione di dati sensibili.

    Descrizione: si verificava un problema nella gestione di URL non corretti da parte di CFNetwork. In caso di accesso a un URL pericoloso, CFNetwork poteva inviare intestazioni della richiesta inaspettate. Questo problema non riguarda i sistemi precedenti a OS X Lion.

    CVE-ID

    CVE-2011-3447: Erling Ellingsen di Facebook

  • ColorSync

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impatto: la visualizzazione di un'immagine pericolosa con un profilo ColorSync incorporato potrebbe comportare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow di numeri interi nella gestione di immagini con un profilo ColorSync incorporato, che poteva causare un overflow del buffer di heap. Il problema non riguarda i sistemi OS X Lion.

    CVE-ID

    CVE-2011-0200: binaryproof, collaboratore della Zero Day Initiative di TippingPoint

  • CoreAudio

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impatto: la riproduzione di contenuti audio pericolosi potrebbe comportare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione dello streaming audio codificato come AAC. Il problema non riguarda i sistemi OS X Lion.

    CVE-ID

    CVE-2011-3252: Luigi Auriemma, collaboratore della Zero Day Initiative di TippingPoint

  • CoreMedia

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer di heap nella gestione dei filmati codificati come H.264 da parte di CoreMedia.

    CVE-ID

    CVE-2011-3448: Scott Stender di iSEC Partners

  • CoreText

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: la visualizzazione o il download di un documento contenente un font pericoloso potrebbe comportare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di tipo use-after-free nella gestione dei file del font.

    CVE-ID

    CVE-2011-3449: Will Dormann di CERT/CC

  • CoreUI

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.2, OS X Lion Server dalla versione 10.7 alla versione 10.7.2

    Impatto: l'accesso a un sito web pericoloso potrebbe comportare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di allocazione dello stack non vincolato nella gestione degli URL lunghi. Questo problema non riguarda i sistemi precedenti a OS X Lion.

    CVE-ID

    CVE-2011-3450: Ben Syverson

  • curl

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: un server remoto potrebbe riuscire a spacciarsi per client tramite richieste GSSAPI.

    Descrizione: quando effettui l'autenticazione GSSAPI, libcurl fornisce senza condizioni la delega delle credenziali. Il problema viene risolto disabilitando la delegazione delle credenziali GSSAPI.

    CVE-ID

    CVE-2011-2192

  • Sicurezza dei dati

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.

    Descrizione: due autorità di certificazione presenti nell'elenco dei certificati root affidabili hanno emesso indipendentemente certificati intermedi a DigiCert Malaysia. DigiCert Malaysia ha emesso certificati con chiavi deboli che non è possibile revocare. Un malintenzionato con una posizione privilegiata in rete potrebbe intercettare le credenziali dell'utente o altre informazioni sensibili destinate a un sito con un certificato emesso da DigiCert Malaysia. Questo problema viene risolto configurando le impostazioni di default di affidabilità del sistema in modo che i certificati emessi da DigiCert Malaysia non siano ritenuti affidabili. Ringraziamo Bruce Morton di Entrust, Inc. per aver segnalato il problema.

  • dovecot

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: un malintenzionato potrebbe essere in grado di decodificare i dati protetti con SSL.

    Descrizione: esistono noti attacchi sulla riservatezza di SSL 3.0 e TLS 1.0 quando una suite di codice utilizza un codice di blocco nella modalità CBC. Dovecot ha disabilitato il "frammento vuoto" come contromisura per evitare questi attacchi. Il problema viene risolto abilitando la contromisura.

    CVE-ID

    CVE-2011-3389: Apple

  • filecmds

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: la visualizzazione di un file compresso pericoloso potrebbe comportare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nello strumento linea di comando "decompresso".

    CVE-ID

    CVE-2011-2895

  • ImageIO

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.2, OS X Lion Server dalla versione 10.7 alla versione 10.7.2

    Impatto: la visualizzazione di un file TIFF pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione di immagini TIFF codificate in ThunderScan. Questo problema è stato risolto aggiornando libtiff alla versione 3.9.5.

    CVE-ID

    CVE-2011-1167

  • ImageIO

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.2, OS X Lion Server dalla versione 10.7 alla versione 10.7.2

    Impatto: diversi problemi di vulnerabilità in libpng 1.5.4.

    Descrizione: l'aggiornamento di libpng alla versione 1.5.5 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali potrebbe comportare l'esecuzione di codice arbitrario. Per ulteriori informazioni, consulta il sito web di libpng all'indirizzo http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-3328

  • Condivisione Internet

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.2, OS X Lion Server dalla versione 10.7 alla versione 10.7.2

    Impatto: Condivisione Internet ha creato una rete Wi-Fi che potrebbe perdere le impostazioni di sicurezza dopo un aggiornamento del sistema.

    Descrizione: dopo aver eseguito l'aggiornamento a una versione di OS X Lion precedente a 10.7.3, la configurazione Wi-Fi utilizzata da Condivisione Internet potrebbe tornare alle impostazioni di default che disabilitano la password WEP. Il problema riguarda solo i sistemi con Condivisione Internet attivo e con la condivisione della connessione tramite Wi-Fi. Il problema viene risolto conservando la configurazione Wi-Fi durante l'aggiornamento del software.

    CVE-ID

    CVE-2011-3452: un ricercatore anonimo

  • Libinfo

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.2, OS X Lion Server dalla versione 10.7 alla versione 10.7.2

    Impatto: la visita a un sito web pericoloso potrebbe comportare la divulgazione di dati sensibili.

    Descrizione: si verificava un problema nella gestione delle richieste di ricerca del nome host di Libinfo. Libinfo poteva inviare risultati non corretti per un nome host pericoloso. Questo problema non riguarda i sistemi precedenti a OS X Lion.

    CVE-ID

    CVE-2011-3441: Erling Ellingsen di Facebook

  • libresolv

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: le applicazioni che utilizzano la libreria di libresolv per OS X potrebbero essere soggette a chiusura improvvisa o all'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow di numeri interi nell'analisi di record di risorse DNS, che poteva portare a una corruzione della memoria di heap.

    CVE-ID

    CVE-2011-3453: Ilja van Sprundel di IOActive

  • libsecurity

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: alcuni certificati EV potrebbero essere attendibili se il root corrispondente è stato contrassegnato come non affidabile.

    Descrizione: il codice del certificato sarebbe stato attendibile per un certificato root per accedere ai certificati EV se fosse stato presente nell'elenco dei distributori EV conosciuti, nonostante l'utente lo avesse contrassegnato come "mai attendibile" in Portachiavi. Il root non sarà attendibile per l'accesso a certificati non EV.

    CVE-ID

    CVE-2011-3422: Alastair Houghton

  • OpenGL

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: le applicazioni che usano l'implementazione di OpenGL per OS X potrebbero essere soggette a chiusura improvvisa o all'esecuzione di codice arbitrario.

    Descrizione: si verificava un danneggiamento della memoria nella gestione della compilation GLSL.

    CVE-ID

    CVE-2011-3457: Chris Evans del Google Chrome Security Team e Marc Schoenefeld del Red Hat Security Response Team

  • PHP

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: sono presenti diverse vulnerabilità in PHP 5.3.6.

    Descrizione: PHP è aggiornato alla versione 5.3.8 per risolvere diversi problemi di vulnerabilità, il più grave dei quali potrebbe comportare l'esecuzione di codice arbitrario. Ulteriori informazioni sono disponibili sul sito web di PHP http://www.php.net.

    CVE-ID

    CVE-2011-1148

    CVE-2011-1657

    CVE-2011-1938

    CVE-2011-2202

    CVE-2011-2483

    CVE-2011-3182

    CVE-2011-3189

    CVE-2011-3267

    CVE-2011-3268

  • PHP

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.2, OS X Lion Server dalla versione 10.7 alla versione 10.7.2

    Impatto: la visualizzazione di un file PDF pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di corruzione della memoria nella gestione dei font di tipo 1 da parte di FreeType. Il problema è stato risolto con l'aggiornamento di FreeType alla versione 2.4.7. Ulteriori informazioni sono disponibili sul sito FreeType http://www.freetype.org/.

    CVE-ID

    CVE-2011-3256: Apple

  • PHP

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: diversi problemi di vulnerabilità in libpng 1.5.4.

    Descrizione: l'aggiornamento di libpng alla versione 1.5.5 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali potrebbe comportare l'esecuzione di codice arbitrario. Per ulteriori informazioni, consulta il sito web di libpng all'indirizzo http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-3328

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: l'apertura di un file codificato come MP4 pericoloso potrebbe comportare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di accesso alla memoria non inizializzata nella gestione dei file codificati come MP4.

    CVE-ID

    CVE-2011-3458: Luigi Auriemma e pa_kt both, collaboratori della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di signedness nella gestione delle tabelle di font incorporate nei filmati di QuickTime.

    CVE-ID

    CVE-2011-3248: Luigi Auriemma, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione dei filmati atom rdrf di QuickTime.

    CVE-ID

    CVE-2011-3459: Luigi Auriemma, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: la visualizzazione di un file immagine JPEG2000 pericoloso potrebbe provocare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione dei file JPEG2000.

    CVE-ID

    CVE-2011-3250: Luigi Auriemma, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: l'elaborazione di un'immagine PNG pericolosa potrebbe comportare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione dei file PNG.

    CVE-ID

    CVE-2011-3460: Luigi Auriemma, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione dei filmati codificati come FLC.

    CVE-ID

    CVE-2011-3249: Matt 'j00ru' Jurczyk, collaboratore della Zero Day Initiative di TippingPoint

  • SquirrelMail

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impatto: diversi problemi di vulnerabilità in SquirrelMail.

    Descrizione: SquirrelMail è stato aggiornato alla versione 1.4.22 per risolvere diversi problemi di vulnerabilità, il più grave dei quali è relativo allo scripting cross-site. Il problema non riguarda i sistemi OS X Lion. Per ulteriori informazioni, visita il sito web di SquirrelMail all'indirizzo http://www.SquirrelMail.org/.

    CVE-ID

    CVE-2010-1637

    CVE-2010-2813

    CVE-2010-4554

    CVE-2010-4555

    CVE-2011-2023

  • Subversion

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: l'accesso a un repository Subversion potrebbe comportare la divulgazione di dati sensibili.

    Descrizione: l'aggiornamento di Subversion alla versione 1.6.17 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali potrebbe comportare la divulgazione di dati sensibili. Ulteriori informazioni sono disponibili sul sito web di Subversion all'indirizzo http://subversion.apache.org.

    CVE-ID

    CVE-2011-1752

    CVE-2011-1783

    CVE-2011-1921

  • Time Machine

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.2, OS X Lion Server dalla versione 10.7 alla versione 10.7.2

    Impatto: un malintenzionato collegato in remoto potrebbe accedere a nuovi backup creati dal sistema dell'utente.

    Descrizione: l'utente poteva indicare un volume AFP in remoto o Time Capsule da usare per i backup di Time Machine. Time Machine non verificava che lo stesso dispositivo fosse stato usato per successive operazioni di backup. Un malintenzionato in grado di eseguire lo spoofing del volume AFP remoto poteva ottenere l'accesso ai nuovi backup dal sistema dell'utente. Questo problema è stato risolto verificando l'identificatore unico associato a un disco per le operazioni di backup.

    CVE-ID

    CVE-2011-3462: Michael Roitzsch della Technische Universität di Dresda

  • Tomcat

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impatto: sono presenti diverse vulnerabilità in Tomcat 6.0.32.

    Descrizione: l'aggiornamento di Tomcat alla versione 6.0.33 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali potrebbe comportare la divulgazione dei dati sensibili. Tomcat è fornito solo sui sistemi Mac OS X Server. Il problema non riguarda i sistemi OS X Lion. Per ulteriori informazioni, visita il sito Tomcat all'indirizzo http://tomcat.apache.org/.

    CVE-ID

    CVE-2011-2204

  • WebDAV Sharing

    Disponibile per: OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: utenti in locale potrebbero ottenere privilegi di sistema.

    Descrizione: si verificava un problema di gestione dell'autenticazione dell'utente in WebDAV Sharing. Un utente con un account valido su server o una delle cartelle vincolate poteva provocare l'esecuzione di codice arbitrario con privilegi di sistema. Questo problema non riguarda i sistemi precedenti a OS X Lion.

    CVE-ID

    CVE-2011-3463: Gordon Davisson di Crywolf

  • Webmail

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.2, OS X Lion Server dalla versione 10.7 alla versione 10.7.2

    Impatto: la visualizzazione di messaggi email pericolosi potrebbe comportare la chiusura del contenuto del messaggio.

    Descrizione: si verificava un problema di vulnerabilità di scripting cross-site nella gestione di messaggi email. Questo problema è stato risolto aggiornando Roundcube Webmail alla versione 0.6. Questo problema non riguarda i sistemi precedenti a OS X Lion. Per ulteriori informazioni, visita il sito Roundcube all'indirizzo http://trac.roundcube.net/.

    CVE-ID

    CVE-2011-2937

  • X11

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.2, OS X Lion Server dalla versione 10.7 alla 10.7.2

    Impatto: la visualizzazione di un file PDF pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di corruzione della memoria nella gestione dei font di tipo 1 da parte di FreeType. Il problema è stato risolto con l'aggiornamento di FreeType alla versione 2.4.7. Ulteriori informazioni sono disponibili sul sito FreeType http://www.freetype.org/.

    CVE-ID

    CVE-2011-3256: Apple

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: