Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".
Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple".
Questo aggiornamento può essere scaricato e installato tramite Aggiornamento Software o tramite il sito web del supporto Apple.
OS X Mavericks 10.9.2 e aggiornamento di sicurezza 2014-001
Apache
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: diversi problemi di vulnerabilità in Apache.
Descrizione: in Apache si verificavano diverse vulnerabilità, la più grave delle quali poteva comportare lo scripting di tipo cross-site. Tali problemi sono stati risolti aggiornando Apache alla versione 2.2.26.
CVE-ID
CVE-2013-1862
CVE-2013-1896
App Sandbox
Disponibile per: OS X Mountain Lion 10.8.5
Impatto: l'app Sandbox potrebbe essere ignorata.
Descrizione: l'interfaccia LaunchServices per l'avvio di un'applicazione consentiva alle app sandboxed di specificare l'elenco di argomenti passato al nuovo processo. Un'applicazione sandboxed compromessa poteva abusare di questo per ignorare la sandbox. Questo problema è stato risolto impedendo alle applicazioni sandboxed di specificare gli argomenti e non riguarda i sistemi OS X Mavericks 10.9 o versioni più recenti.
CVE-ID
CVE-2013-5179: Friedrich Graeter di The Soulmen GbR
ATS
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: la visualizzazione o il download di un documento contenente un font pericoloso incorporato potrebbe comportare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di corruzione della memoria nella gestione dei font di tipo 1. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1254: Felix Groebert del Google Security Team
ATS
Disponibile per: OS X Mavericks 10.9 e 10.9.1
Impatto: l'app Sandbox potrebbe essere ignorata.
Descrizione: si verificava un problema di corruzione della memoria nella gestione dei messaggi di Mach passati ad ATS. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1262: Meder Kydyraliev del Google Security Team
ATS
Disponibile per: OS X Mavericks 10.9 e 10.9.1
Impatto: l'app Sandbox potrebbe essere ignorata.
Descrizione: si verificava un problema libero arbitrario nella gestione dei messaggi di Mach passati ad ATS. Questo problema è stato risolto attraverso un'ulteriore convalida dei messaggi di Mach.
CVE-ID
CVE-2014-1255: Meder Kydyraliev del Google Security Team
ATS
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: l'app Sandbox potrebbe essere ignorata.
Descrizione: si verificava un problema di overflow del buffer nella gestione dei messaggi di Mach passati ad ATS. Questo problema è stato risolto attraverso un ulteriore controllo dei limiti.
CVE-ID
CVE-2014-1256: Meder Kydyraliev del Google Security Team
Certificate Trust Policy
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: i certificati principali sono stati aggiornati.
Descrizione: la serie di certificati root di sistema è stato aggiornato. L'elenco completo dei root di sistema riconosciuti può essere visualizzato tramite l'applicazione Accesso Portachiavi.
Cookie CFNetwork
Disponibile per: OS X Mountain Lion 10.8.5
Impatto: i cookie della sessione potrebbero persistere anche dopo aver ripristinato Safari.
Descrizione: il ripristino di Safari non eliminava sempre i cookie della sessione finché Safari non veniva chiuso. Questo problema è stato risolto mediante una migliore gestione dei cookie della sessione e non riguarda i sistemi OS X Mavericks 10.9 o versioni più recenti.
CVE-ID
CVE-2014-1257: Rob Ansaldo di Amherst College, Graham Bennett
CoreAnimation
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: l'accesso a un sito web pericoloso potrebbe comportare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer di heap nella gestione delle immagini da parte di CoreAnimation. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1258: Karl Smith di NCC Group
CoreText
Disponibile per: OS X Mavericks 10.9 e 10.9.1
Impatto: le applicazioni che usano CoreText potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.
Descrizione: si verificava un problema di signedness nella gestione delle tabelle di font Unicode in CoreText. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1261: Lucas Apa e Carlos Mario Penagos dei laboratori IOActive
curl
Disponibile per: OS X Mavericks 10.9 e 10.9.1
Impatto: un malintenzionato con una posizione privilegiata sulla rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.
Descrizione: quando veniva usato curl per la connessione a un URL HTTPS contenente un indirizzo IP, l'indirizzo IP non veniva convalidato con il certificato. Questo problema non riguarda i sistemi precedenti a OS X Mavericks 10.9.
CVE-ID
CVE-2014-1263: Roland Moriz di Moriz GmbH
Sicurezza dei dati
Disponibile per: OS X Mavericks 10.9 e 10.9.1
Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe registrare o modificare dati nelle sessioni protette da SSL/TLS.
Descrizione: Secure Transport non riusciva a convalidare l'autenticità della connessione. Questo problema è stato risolto ripristinando i passaggi di convalida mancanti.
CVE-ID
CVE-2014-1266
Data e Ora
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: un utente senza privilegi potrebbe modificare l'orologio del sistema.
Descrizione: questo aggiornamento modifica il comportamento del
systemsetup
comando in modo da richiedere i privilegi di amministratore per modificare l'orologio di sistema.CVE-ID
CVE-2014-1265
Contrassegno dei file
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: la visualizzazione di un file pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer nella gestione dei nomi di file. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1259
Finder
Disponibile per: OS X Mavericks 10.9 e 10.9.1
Impatto: l'accesso a un ACL di un file tramite il Finder potrebbe permettere ad altri utenti di ottenere l'accesso non autorizzato ai file.
Descrizione: l'accesso a un ACL di un file tramite il Finder poteva danneggiare gli ACL sul file. Questo problema è stato risolto migliorando la gestione degli ACL.
CVE-ID
CVE-2014-1264
ImageIO
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: la visualizzazione di un file JPEG pericoloso potrebbe comportare la divulgazione di contenuti presenti in memoria.
Descrizione: si verificava un problema relativo all'accesso alla memoria non inizializzata nella gestione dei marcatori JPEG da parte di libjpeg, comportando la divulgazione di contenuti presenti in memoria. Questo problema è stato risolto tramite una migliore gestione di JPEG.
CVE-ID
CVE-2013-6629: Michal Zalewski
IOSerialFamily
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5
Impatto: l'esecuzione di un'applicazione pericolosa potrebbe comportare l'esecuzione di codice arbitrario nel kernel.
Descrizione: si verificava un accesso alla matrice fuori dai limiti nel driver IOSerialFamily. Questo problema è stato risolto attraverso un ulteriore controllo dei limiti. e non riguarda i sistemi OS X Mavericks 10.9 o versioni più recenti.
CVE-ID
CVE-2013-5139: @dent1zt
LaunchServices
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5
Impatto: un file potrebbe presentare l'estensione errata.
Descrizione: si verificava un problema nella gestione di alcuni caratteri Unicode che potevano far sì che i nomi dei file presentassero estensioni errate. Questo problema è stato risolto filtrando i caratteri Unicode non sicuri dalla visualizzazione nei nomi dei file e non riguarda i sistemi OS X Mavericks 10.9 o versioni più recenti.
CVE-ID
CVE-2013-5178: Jesse Ruderman di Mozilla Corporation, Stephane Sudre di Intego
Driver NVIDIA
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: l'esecuzione di un'applicazione pericolosa potrebbe comportare l'esecuzione di codice arbitrario nella scheda grafica.
Descrizione: si verificava un problema che consentiva la scrittura su alcune memorie affidabili sulle schede grafiche. Questo problema è stato risolto tramite la rimozione della capacità dell'host di scrivere su tale memoria.
CVE-ID
CVE-2013-5986: Marcin Kościelnicki del progetto X.Org Foundation Nouveau
CVE-2013-5987: Marcin Kościelnicki del progetto X.Org Foundation Nouveau
PHP
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: diverse vulnerabilità in PHP.
Descrizione: in PHP si verificavano diverse vulnerabilità, la più grave delle quali avrebbe potuto comportare l'esecuzione di codice arbitrario. Questi problemi sono stati risolti tramite l'aggiornamento di PHP alla versione 5.4.24 su OS X Mavericks 10.9 e alla versione 5.3.28 su OS X Lion e Mountain Lion.
CVE-ID
CVE-2013-4073
CVE-2013-4113
CVE-2013-4248
CVE-2013-6420
QuickLook
Disponibile per: OS X Mountain Lion 10.8.5
Impatto: il download di un file Microsoft Office pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di corruzione della memoria nella gestione dei file Microsoft Office da parte di QuickLook. Il download di un file Microsoft Word pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. e non riguarda i sistemi OS X Mavericks 10.9 o versioni più recenti.
CVE-ID
CVE-2014-1260: Felix Groebert del Google Security Team
QuickLook
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: il download di un documento Microsoft Office pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di double free nella gestione dei documenti Microsoft da parte di QuickLook. Questo problema è stato risolto mediante una migliore gestione della memoria.
CVE-ID
CVE-2014-1252: Felix Groebert del Google Security Team
QuickTime
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: la riproduzione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer nella gestione degli atom "ftab". Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1246: un ricercatore anonimo, collaboratore della Zero Day Initiative di HP.
QuickTime
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: la riproduzione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione degli atom "dref". Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1247: Tom Gallagher e Paul Bates collaboratori della Zero Day Initiative di HP
QuickTime
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: la riproduzione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer nella gestione degli atom "ldat". Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1248: Jason Kratzer collaboratore di iDefense VCP
QuickTime
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: l'apertura di un'immagine PSD pericolosa potrebbe causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer nella gestione delle immagini PSD. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1249: dragonltx del Tencent Security Team
QuickTime
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: la riproduzione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di scambio byte fuori dai limiti nella gestione degli elementi "ttfo". Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1250: Jason Kratzer collaboratore di iDefense VCP
QuickTime
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impatto: la riproduzione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di signedness nella gestione degli atom "stsz". Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1245: Tom Gallagher e Paul Bates collaboratori della Zero Day Initiative di HP
Secure Transport
Disponibile per: OS X Mountain Lion 10.8.5
Impatto: un malintenzionato potrebbe essere in grado di decodificare i dati protetti con SSL.
Descrizione: esistevano noti attacchi sulla riservatezza di SSL 3.0 e TLS 1.0 quando una suite di codice utilizzava un codice di blocco nella modalità CBC. Per risolvere questi problemi per le applicazioni che usano Secure Transport, per questa configurazione è stata abilitata di default l'attenuazione di frammenti da 1 byte.
CVE-ID
CVE-2011-3389: Juliano Rizzo e Thai Duong