Informazioni sul contenuto di sicurezza di OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 e sull'aggiornamento di sicurezza 2012-004

Leggi di seguito le informazioni sul contenuto di sicurezza di OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 e sull'aggiornamento di sicurezza 2012-004.

In questo documento vengono descritti il contenuto di sicurezza di OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 e l'aggiornamento di sicurezza 2012-004.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple".

OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 e aggiornamento di sicurezza 2012-004

Nota: OS X Mountain Lion 10.8.2 include il contenuto di Safari 6.0.1. Per ulteriori informazioni, consulta l'articolo Informazioni sul contenuto di sicurezza di Safari 6.0.1.

  • Apache

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: diversi problemi di vulnerabilità in Apache.

    Descrizione: l'aggiornamento di Apache alla versione 2.2.22 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali poteva portare all'interruzione del servizio. Per ulteriori informazioni consulta il sito web di Apache all'indirizzo http://httpd.apache.org/. Il problema non interessa i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.4, OS X Lion Server dalla versione 10.7 alla versione 10.7.4

    Impatto: un malintenzionato collegato in remoto potrebbe causare l'interruzione del servizio nei sistemi configurati per l'esecuzione di BIND come server dei nomi DNS.

    Descrizione: si verificava un problema relativo al raggiungimento dell'asserzione nella gestione dei record DNS. Questo problema è stato risolto con l'aggiornamento alla versione BIND 9.7.6-P1. Il problema non interessa i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2011-4313

  • BIND

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.4, OS X Lion Server dalla versione 10.7 alla versione 10.7.4, OS X Mountain Lion 10.8 e 10.8.1

    Impatto: un malintenzionato collegato in remoto potrebbe causare un'interruzione del servizio, il danneggiamento dei dati o rilevare informazioni riservate dalla memoria dei processi nei sistemi configurati per l'esecuzione di BIND come server dei nomi DNS.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei record DNS. Questo problema è stato risolto con l'aggiornamento alla versione BIND 9.7.6-P1 nei sistemi OS X Lion e alla versione BIND 9.8.3-P1 nei sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2012-1667

  • CoreText

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.4, OS X Lion Server dalla versione 10.7 alla versione 10.7.4

    Impatto: le applicazioni che usano CoreText potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di controllo dei limiti nella gestione di parti di testo, che potevano causare il superamento dei limiti per le operazioni di lettura e scrittura della memoria. Questo problema è stato risolto attraverso un migliore controllo dei limiti. Questo problema non riguarda i sistemi Mac OS X 10.6 o OS X Mountain Lion.

    CVE-ID

    CVE-2012-3716: Jesse Ruderman di Mozilla Corporation

  • Sicurezza dei dati

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla versione 10.7.4, OS X Lion Server dalla versione 10.7 alla versione 10.7.4, OS X Mountain Lion 10.8 e 10.8.1

    Impatto: un malintenzionato con una posizione privilegiata sulla rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.

    Descrizione: TrustWave, un'autorità di certificazione radice attendibile, ha emesso e successivamente revocato un certificato di sotto-CA da uno dei propri trust anchor. Questo certificato di sotto-CA ha agevolato l'intercettazione delle comunicazioni protette mediante Transport Layer Security (TLS). Questo aggiornamento consente di aggiungere i certificati di sotto-CA interessati all'elenco dei certificati non provenienti da un'autorità di certificazione attendibile di OS X.

  • DirectoryService

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impatto: se è attivato DirectoryService Proxy, un malintenzionato collegato in remoto potrebbe causare l'interruzione del servizio o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer in DirectoryService Proxy. Questo problema è stato risolto attraverso un migliore controllo dei limiti. Questo problema non riguarda i sistemi OS X Lion e Mountain Lion.

    CVE-ID

    CVE-2012-0650: aazubel, che collabora con la Zero Day Initiative di HP

  • ImageIO

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: l'apertura di un'immagine PNG pericolosa potrebbe causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di corruzione della memoria nella gestione delle immagini PNG da parte di libpng. Questi problemi sono stati risolti attraverso una migliore convalida delle immagini PNG. Questi problemi non riguardano i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: la visualizzazione di un'immagine TIFF pericolosa potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di overflow di numero intero nella gestione delle immagini TIFF da parte di libTIFF. Questo problema è stato risolto mediante una migliore gestione delle immagini TIFF. Il problema non interessa i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2012-1173: Alexander Gavrun, collaboratore della Zero Day Initiative di HP

  • Installazione

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.4, OS X Lion Server dalla versione 10.7 alla versione 10.7.4

    Impatto: gli amministratori remoti e le persona con accesso fisico al sistema potrebbero ottenere informazioni sull'account.

    Descrizione: la riparazione di CVE-2012-0652 in OS X Lion 10.7.4 impediva la registrazione delle password utente nel registro di sistema, ma non rimuoveva le voci esistenti nel registro. Questo problema stato risolto con l'eliminazione dei file di registro che contenevano password. Questo problema non riguarda i sistemi Mac OS X 10.6 o OS X Mountain Lion.

    CVE-ID

    CVE-2012-0652

  • ICU (International Components for Unicode)

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: le applicazioni che usano ICU potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer di stack nella gestione degli ID locali di ICU. Questo problema è stato risolto attraverso un migliore controllo dei limiti. Il problema non interessa i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2011-4599

  • Kernel

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.4, OS X Lion Server dalla versione 10.7 alla versione 10.7.4

    Impatto: un programma pericoloso potrebbe essere in grado di evitare le restrizioni della sandbox.

    Descrizione: si verificava un problema logico nella gestione delle chiamate di sistema di debug. Questo poteva consentire a un programma pericoloso di ottenere l'esecuzione di un codice in altri programmi con gli stessi privilegi dell'utente. Questo problema è stato risolto disattivando la gestione degli indirizzi in PT_STEP e PT_CONTINUE. Il problema non interessa i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-0643: Jailbreak Dream Team per iOS 2012

  • LoginWindow

    Disponibile per: OS X Mountain Lion 10.8 e 10.8.1

    Impatto: un utente locale potrebbe riuscire a ottenere le password di accesso degli altri utenti.

    Descrizione: un metodo di input installato dall'utente poteva consentire il rilevamento della sequenza dei tasti delle password tramite la finestra di login o lo sblocco del salvaschermo. Questo problema è stato risolto impedendo l'utilizzo di metodi installati dall'utente quando il sistema viene utilizzato per gestire le informazioni di login.

    CVE-ID

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: la visualizzazione di un messaggio email potrebbe comportare l'esecuzione di plugin web.

    Descrizione: si verificava un errore nella convalida dell'input nella gestione dei plugin web incorporati di Mail. Questo problema è stato risolto disattivando i plugin di terze parti in Mail. Il problema non interessa i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2012-3719: Will Dormann di CERT/CC

  • Account mobile

    Disponibile per: OS X Mountain Lion 10.8 e 10.8.1

    Impatto: un utente con l'accesso ai contenuti di un account mobile potrebbe riuscire a ottenere la password dell'account.

    Descrizione: la creazione di un account mobile comportava il salvataggio all'interno dell'account di un hash della password utilizzato per accedere all'account mobile da un account esterno. L'hash della password poteva essere utilizzato per rilevare la password dell'utente. Questo problema è stato risolto consentendo la creazione di un hash della password solo se gli account esterni sono attivati nel sistema in cui viene creato l'account mobile.

    CVE-ID

    CVE-2012-3720: Harald Wagener di Google, Inc.

  • PHP

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla versione 10.7.4, OS X Lion Server dalla versione 10.7 alla versione 10.7.4, OS X Mountain Lion 10.8 e 10.8.1

    Impatto: diverse vulnerabilità in PHP.

    Descrizione: >l'aggiornamento di PHP alla versione 5.3.15 consente di risolvere diverse vulnerabilità, la più grave delle quali potrebbe comportare l'esecuzione di codice arbitrario. Ulteriori informazioni sono disponibili sul sito web di PHP http://www.php.net.

    CVE-ID

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: gli script PHP che utilizzano libpng potrebbero essere soggetti a chiusura improvvisa delle applicazioni o a esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file PNG. Questo problema è stato risolto aggiornando la copia del PHP di libpng alla versione 1.5.10. Questo problema non riguarda i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2011-3048

  • Gestore profilo

    Disponibile per: OS X Lion Server dalla versione 10.7 alla versione 10.7.4

    Impatto: un utente non autenticato potrebbe enumerare i dispositivi gestiti.

    Descrizione: si verificava un problema di autenticazione nell'interfaccia privata di Gestione dispositivi. Questo problema è stato risolto grazie alla rimozione dell'interfaccia.

    Il problema non interessa i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2012-3721: Derick Cassidy di XEquals Corporation

  • QuickLook

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: la visualizzazione di un file .pict pericoloso potrebbe provocare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file .pict. Questo problema è stato risolto mediante una migliore convalida dei file .pict Il problema non interessa i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon) del Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow di numero intero nella gestione dei sean atom da parte di QuickTime. Questo problema è stato risolto attraverso un migliore controllo dei limiti. Il problema non interessa i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2012-0670: Tom Gallagher (Microsoft) e Paul Bates (Microsoft) collaboratori della Zero Day Initiative di HP

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di accesso alla memoria non inizializzata nella gestione dei filmati codificati di Sorenson. Questo problema è stato risolto attraverso una migliore inizializzazione della memoria. Il problema non interessa i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2012-3722: Will Dormann di CERT/CC

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione di filmati RLE codificati. Questo problema è stato risolto attraverso un migliore controllo dei limiti. Il problema non interessa i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2012-0668: Luigi Auriemma, collaboratore della Zero Day Initiative di HP.

  • Ruby

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: un malintenzionato potrebbe essere in grado di decodificare i dati protetti con SSL.

    Descrizione: esistono noti attacchi sulla riservatezza di SSL 3.0 e TLS 1.0 quando una suite di codice utilizza un codice di blocco nella modalità CBC. Il modulo di Ruby OpenSSL disattivava la contromisura "frammenti vuoti" che consentiva di impedire questi attacchi. Il problema è stato risolto abilitando i frammenti vuoti. Il problema non interessa i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2011-3389

  • USB

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.4, OS X Lion Server dalla versione 10.7 alla versione 10.7.4

    Impatto: il collegamento di un dispositivo USB potrebbe causare l'arresto inaspettato del sistema o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un danneggiamento della memoria nella gestione dei descrittori degli hub USB. Questo problema è stato risolto attraverso una gestione migliorata del campo dei descrittori bNbrPorts. Il problema non interessa i sistemi OS X Mountain Lion.

    CVE-ID

    CVE-2012-3723: Andy Davis di NGS Secure

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: