Informazioni sui contenuti di sicurezza di Mountain Lion 10.8.5 e sull'aggiornamento di sicurezza 2013-004

In questo documento vengono descritti i contenuti di sicurezza di OS X Mountain Lion 10.8.5 e l'aggiornamento di sicurezza 2013-004.

Questi possono essere scaricati e installati tramite le preferenze di Aggiornamento Software o dalla pagina dei download di Apple.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta l'articolo che parla degli aggiornamenti di sicurezza Apple.

OS X Mountain Lion 10.8.5 e aggiornamento di sicurezza 2013-004

• Apache

  Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: più vulnerabilità in Apache.

  Descrizione: si verificavano più vulnerabilità in Apache, la più grave delle quali poteva comportare scripting cross-site. Questi problemi sono stati risolti aggiornando Apache alla versione 2.2.24.

  CVE-ID

  CVE-2012-0883

  CVE-2012-2687

  CVE-2012-3499

  CVE-2012-4558

• Bind

  Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: più vulnerabilità in BIND.

  Descrizione: in BIND si verificavano più vulnerabilità, la più grave delle quali poteva portare a un'interruzione del servizio. Questi problemi sono stati risolti aggiornando BIND alla versione 9.8.5-P1. CVE-2012-5688 non interessava i sistemi Mac OS X 10.7.

  CVE-ID

  CVE-2012-3817

  CVE-2012-4244

  CVE-2012-5166

  CVE-2012-5688

  CVE-2013-2266

• Certificate Trust Policy

  Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: i certificati root sono stati aggiornati.

  Descrizione: più certificati sono stati aggiunti o rimossi dall'elenco di root del sistema. L'elenco completo di root del sistema riconosciuti può essere visualizzato tramite l'applicazione Accesso Portachiavi.

• ClamAV

  Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

  Impatto: più vulnerabilità in ClamAV.

  Descrizione: in ClamAV si verificavano più vulnerabilità, la più grave delle quali poteva portare all'esecuzione di codice arbitrario. Questi problemi sono stati risolti aggiornando ClamAV alla versione 0.97.8.

  CVE-ID

  CVE-2013-2020

  CVE-2013-2021

• CoreGraphics

  Disponibile per: OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: la visualizzazione di un file PDF pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verificava un overflow del buffer nella gestione dei dati codificati JBIG2 nei file PDF. Il problema è stato risolto attraverso un ulteriore controllo dei limiti.

  CVE-ID

  CVE-2013-1025: Felix Groebert del Google Security Team

• ImageIO

  Disponibile per: OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: la visualizzazione di un file PDF pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verificava un overflow del buffer nella gestione dei dati codificati JPEG2000 nei file PDF. Il problema è stato risolto attraverso un ulteriore controllo dei limiti.

  CVE-ID

  CVE-2013-1026: Felix Groebert del Google Security Team

• Installer

  Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: i pacchetti possono essere aperti dopo la revoca del certificato.

  Descrizione: quando il programma di installazione rilevava un certificato revocato, veniva visualizzata una finestra di dialogo contenente l'opzione per continuare. Il problema è stato risolto rimuovendo la finestra di dialogo e rifiutando qualsiasi pacchetto revocato.

  CVE-ID

  CVE-2013-1027

• IPSec

  Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: un utente malintenzionato può intercettare i dati protetti con IPSec Hybrid Auth.

  Descrizione: il nome DNS di un server IPSec Hybrid Auth non veniva confrontato con il certificato, consentendo a un utente malintenzionato dotato di certificato per qualsiasi server di assumere l'identità di altri. Il problema è stato risolto tramite un adeguato controllo del certificato.

  CVE-ID

  CVE-2013-1028: Alexander Traud di www.traud.de

• Kernel

  Disponibile per: OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: un utente della rete locale può causare un'interruzione del servizio.

  Descrizione: un controllo errato nel codice di analisi dei pacchetti IGMP nel kernel consentiva a un utente che poteva inviare pacchetti IGMP al sistema di causare un kernel panic. Il problema è stato risolto rimuovendo il controllo.

  CVE-ID

  CVE-2013-1029: Christopher Bohn di PROTECTSTAR INC.

• Mobile Device Management

  Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: le password possono essere rivelate ad altri utenti locali.

  Descrizione: una password veniva trasmessa sulla riga di comando a mdmclient, divenendo visibile ad altri utenti sullo stesso sistema. Il problema è stato risolto comunicando la password tramite una pipe.

  CVE-ID

  CVE-2013-1030: Per Olofsson della University of Gothenburg

• OpenSSL

  Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: più vulnerabilità in OpenSSL.

  Descrizione: in OpenSSL si verificavano più vulnerabilità, la più grave delle quali poteva portare alla divulgazione dei dati degli utenti. Questi problemi sono stati risolti aggiornando OpenSSL alla versione 0.9.8y.

  CVE-ID

  CVE-2012-2686

  CVE-2013-0166

  CVE-2013-0169

• PHP

  Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: più vulnerabilità in PHP.

  Descrizione: in PHP si verificavano più vulnerabilità, la più grave delle quali poteva comportare l'esecuzione di codice arbitrario. Questi problemi sono stati risolti aggiornando PHP alla versione 5.3.26.

  CVE-ID

  CVE-2013-1635

  CVE-2013-1643

  CVE-2013-1824

  CVE-2013-2110

• PostgreSQL

  Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: più vulnerabilità in PostgreSQL.

  Descrizione: in PostgreSQL si verificavano più vulnerabilità, la più grave delle quali poteva portare al danneggiamento dei dati o all'escalation dei privilegi. CVE-2013-1901 non interessa i sistemi OS X Lion. Questi problemi sono stati risolti aggiornando PostgreSQL alla versione 9.1.9 nei sistemi OS X Mountain Lion e alla versione 9.0.4 nei sistemi OS X Lion.

  CVE-ID

  CVE-2013-1899

  CVE-2013-1900

  CVE-2013-1901

• Power Management

  Disponibile per: OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: lo screen saver potrebbe non avviarsi dopo il periodo di tempo specificato.

  Descrizione: si verificava un problema di blocco dell'asserzione di potenza. Il problema è stato risolto attraverso una migliore gestione del blocco.

  CVE-ID

  CVE-2013-1031

• QuickTime

  Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: la visualizzazione di un filmato pericoloso può portare alla terminazione inattesa dell'applicazione o all'esecuzione di codice arbitrario.

  Descrizione: si verificava un problema di danneggiamento della memoria correlato alla gestione degli atom “idsc” nei filmati di QuickTime. Il problema è stato risolto attraverso un ulteriore controllo dei limiti.

  CVE-ID

  CVE-2013-1032: Jason Kratzer in collaborazione con iDefense VCP

• Screen Lock

  Disponibile per: OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: un utente con accesso alla condivisione dello schermo può essere in grado di ignorare il blocco dello schermo quando un altro utente è connesso.

  Descrizione: si verificava un problema di gestione delle sessioni correlato alla gestione con il blocco schermo delle sessioni di condivisione dello schermo. Il problema è stato risolto migliorando il tracking della sessione.

  CVE-ID

  CVE-2013-1033: Jeff Grisso di Atos IT Solutions, Sébastien Stormacq

• sudo

  Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4

  Impatto: un utente malintenzionato con il controllo dell'account di un utente admin può essere in grado di ottenere i privilegi root senza conoscere la password dell'utente.

  Descrizione: impostando l'orologio del sistema, un utente malintenzionato poteva essere in grado di utilizzare sudo per ottenere i privilegi root in sistemi in cui sudo era già stato utilizzato. In OS X, solo gli utenti admin potevano modificare l'orologio del sistema. Il problema è stato risolto verificando la presenza di data e ora non valide.

  CVE-ID

  CVE-2013-1775

• Nota: OS X Mountain Lion 10.8.5 risolve anche un problema per cui alcune stringhe Unicode potevano causare la chiusura inaspettata delle applicazioni.