Informazioni sui contenuti di sicurezza di Mountain Lion 10.8.5 e sull'aggiornamento di sicurezza 2013-004
In questo documento vengono descritti i contenuti di sicurezza di OS X Mountain Lion 10.8.5 e l'aggiornamento di sicurezza 2013-004.
Questi possono essere scaricati e installati tramite le preferenze di Aggiornamento Software o dalla pagina dei download di Apple.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta l'articolo che parla degli aggiornamenti di sicurezza Apple.
OS X Mountain Lion 10.8.5 e aggiornamento di sicurezza 2013-004
Apache
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4
Impatto: più vulnerabilità in Apache.
Descrizione: si verificavano più vulnerabilità in Apache, la più grave delle quali poteva comportare scripting cross-site. Questi problemi sono stati risolti aggiornando Apache alla versione 2.2.24.
CVE-ID
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4
Impatto: più vulnerabilità in BIND.
Descrizione: in BIND si verificavano più vulnerabilità, la più grave delle quali poteva portare a un'interruzione del servizio. Questi problemi sono stati risolti aggiornando BIND alla versione 9.8.5-P1. CVE-2012-5688 non interessava i sistemi Mac OS X 10.7.
CVE-ID
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4
Impatto: i certificati root sono stati aggiornati.
Descrizione: più certificati sono stati aggiunti o rimossi dall'elenco di root del sistema. L'elenco completo di root del sistema riconosciuti può essere visualizzato tramite l'applicazione Accesso Portachiavi.
ClamAV
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5
Impatto: più vulnerabilità in ClamAV.
Descrizione: in ClamAV si verificavano più vulnerabilità, la più grave delle quali poteva portare all'esecuzione di codice arbitrario. Questi problemi sono stati risolti aggiornando ClamAV alla versione 0.97.8.
CVE-ID
CVE-2013-2020
CVE-2013-2021
CoreGraphics
Disponibile per: OS X Mountain Lion da 10.8 a 10.8.4
Impatto: la visualizzazione di un file PDF pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer nella gestione dei dati codificati JBIG2 nei file PDF. Il problema è stato risolto attraverso un ulteriore controllo dei limiti.
CVE-ID
CVE-2013-1025: Felix Groebert del Google Security Team
ImageIO
Disponibile per: OS X Mountain Lion da 10.8 a 10.8.4
Impatto: la visualizzazione di un file PDF pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer nella gestione dei dati codificati JPEG2000 nei file PDF. Il problema è stato risolto attraverso un ulteriore controllo dei limiti.
CVE-ID
CVE-2013-1026: Felix Groebert del Google Security Team
Installer
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4
Impatto: i pacchetti possono essere aperti dopo la revoca del certificato.
Descrizione: quando il programma di installazione rilevava un certificato revocato, veniva visualizzata una finestra di dialogo contenente l'opzione per continuare. Il problema è stato risolto rimuovendo la finestra di dialogo e rifiutando qualsiasi pacchetto revocato.
CVE-ID
CVE-2013-1027
IPSec
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4
Impatto: un utente malintenzionato può intercettare i dati protetti con IPSec Hybrid Auth.
Descrizione: il nome DNS di un server IPSec Hybrid Auth non veniva confrontato con il certificato, consentendo a un utente malintenzionato dotato di certificato per qualsiasi server di assumere l'identità di altri. Il problema è stato risolto tramite un adeguato controllo del certificato.
CVE-ID
CVE-2013-1028: Alexander Traud di www.traud.de
Kernel
Disponibile per: OS X Mountain Lion da 10.8 a 10.8.4
Impatto: un utente della rete locale può causare un'interruzione del servizio.
Descrizione: un controllo errato nel codice di analisi dei pacchetti IGMP nel kernel consentiva a un utente che poteva inviare pacchetti IGMP al sistema di causare un kernel panic. Il problema è stato risolto rimuovendo il controllo.
CVE-ID
CVE-2013-1029: Christopher Bohn di PROTECTSTAR INC.
Mobile Device Management
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4
Impatto: le password possono essere rivelate ad altri utenti locali.
Descrizione: una password veniva trasmessa sulla riga di comando a mdmclient, divenendo visibile ad altri utenti sullo stesso sistema. Il problema è stato risolto comunicando la password tramite una pipe.
CVE-ID
CVE-2013-1030: Per Olofsson della University of Gothenburg
OpenSSL
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4
Impatto: più vulnerabilità in OpenSSL.
Descrizione: in OpenSSL si verificavano più vulnerabilità, la più grave delle quali poteva portare alla divulgazione dei dati degli utenti. Questi problemi sono stati risolti aggiornando OpenSSL alla versione 0.9.8y.
CVE-ID
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4
Impatto: più vulnerabilità in PHP.
Descrizione: in PHP si verificavano più vulnerabilità, la più grave delle quali poteva comportare l'esecuzione di codice arbitrario. Questi problemi sono stati risolti aggiornando PHP alla versione 5.3.26.
CVE-ID
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4
Impatto: più vulnerabilità in PostgreSQL.
Descrizione: in PostgreSQL si verificavano più vulnerabilità, la più grave delle quali poteva portare al danneggiamento dei dati o all'escalation dei privilegi. CVE-2013-1901 non interessa i sistemi OS X Lion. Questi problemi sono stati risolti aggiornando PostgreSQL alla versione 9.1.9 nei sistemi OS X Mountain Lion e alla versione 9.0.4 nei sistemi OS X Lion.
CVE-ID
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
Disponibile per: OS X Mountain Lion da 10.8 a 10.8.4
Impatto: lo screen saver potrebbe non avviarsi dopo il periodo di tempo specificato.
Descrizione: si verificava un problema di blocco dell'asserzione di potenza. Il problema è stato risolto attraverso una migliore gestione del blocco.
CVE-ID
CVE-2013-1031
QuickTime
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4
Impatto: la visualizzazione di un filmato pericoloso può portare alla terminazione inattesa dell'applicazione o all'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria correlato alla gestione degli atom “idsc” nei filmati di QuickTime. Il problema è stato risolto attraverso un ulteriore controllo dei limiti.
CVE-ID
CVE-2013-1032: Jason Kratzer in collaborazione con iDefense VCP
Screen Lock
Disponibile per: OS X Mountain Lion da 10.8 a 10.8.4
Impatto: un utente con accesso alla condivisione dello schermo può essere in grado di ignorare il blocco dello schermo quando un altro utente è connesso.
Descrizione: si verificava un problema di gestione delle sessioni correlato alla gestione con il blocco schermo delle sessioni di condivisione dello schermo. Il problema è stato risolto migliorando il tracking della sessione.
CVE-ID
CVE-2013-1033: Jeff Grisso di Atos IT Solutions, Sébastien Stormacq
sudo
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion da 10.8 a 10.8.4
Impatto: un utente malintenzionato con il controllo dell'account di un utente admin può essere in grado di ottenere i privilegi root senza conoscere la password dell'utente.
Descrizione: impostando l'orologio del sistema, un utente malintenzionato poteva essere in grado di utilizzare sudo per ottenere i privilegi root in sistemi in cui sudo era già stato utilizzato. In OS X, solo gli utenti admin potevano modificare l'orologio del sistema. Il problema è stato risolto verificando la presenza di data e ora non valide.
CVE-ID
CVE-2013-1775
Nota: OS X Mountain Lion 10.8.5 risolve anche un problema per cui alcune stringhe Unicode potevano causare la chiusura inaspettata delle applicazioni.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.