Informazioni sui contenuti di sicurezza dell’aggiornamento di Mac OS X 10.4.7
Questo documento descrive i contenuti di sicurezza dell'aggiornamento di Mac OS X 10.4.7, che può essere scaricato e installato tramite Aggiornamento Software o da Download Apple.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Visita il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo “Come usare la chiave PGP per la sicurezza dei prodotti Apple”.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta la sezione “Aggiornamenti di sicurezza Apple”.
Aggiornamento di Mac OS X v10.4.7
AFP
CVE-ID: CVE-2006-1468
Disponibile per: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: nomi di file e cartelle potrebbero essere divulgati a utenti non autorizzati
Descrizione: a causa di un problema nel server AFP i risultati di ricerca includono nomi di file e cartelle a cui l'utente che esegue la ricerca non ha accesso. Ciò può dare luogo alla divulgazione di informazioni se i nomi stessi sono considerati informazioni sensibili. Questo aggiornamento risolve il problema assicurando che i risultati di ricerca includano solo gli elementi per cui l'utente dispone di un'autorizzazione. Il problema non interessa i sistemi meno recenti di Mac OS X 10.4.
ClamAV
CVE-ID: CVE-2006-1989
Disponibile per: Mac OS X Server 10.4.6
Impatto: se è configurato l'aggiornamento automatico della scansione virus, una duplicazione dannosa del database può causare l'esecuzione di codice arbitrario
Descrizione: un problema nell'aggiornamento automatico nel database dei virus di ClamAV può dare luogo a un overflow del buffer basato sullo stack. Una duplicazione dannosa o fraudolenta del database ClamAV potrebbe causare l'esecuzione di codice arbitrario con i privilegi di ClamAV. Il servizio Mail, la scansione dei virus e gli aggiornamenti automatici del database dei virus sono disattivati di default. Questo aggiornamento risolve il problema integrando ClamAV 0.88.2. Questo problema non riguarda i sistemi precedenti a Mac OS X 10.4.
ImageIO
CVE-ID: CVE-2006-1469
Disponibile per: Mac OS X v10.4.6, Mac OS X Server 10.4.6
Impatto: la visualizzazione di un'immagine TIFF dannosa può provocare un crash dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: creando attentamente un'immagine TIFF dannosa, un utente malintenzionato può attivare un overflow del buffer basato su stack che può provocare un crash dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema eseguendo un’ulteriore convalida delle immagini TIFF. Il problema non interessa i sistemi meno recenti di Mac OS X 10.4.
launchd
CVE-ID: CVE-2006-1471
Disponibile per: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: gli utenti locali possono ottenere privilegi elevati
Descrizione: una vulnerabilità legata alla stringa del formato nel launchd del programma setuid può consentire a un utente locale autenticato di eseguire codice arbitrario con privilegi di sistema. Il problema è presente nel servizio di accesso di launchd. Questo aggiornamento risolve il problema eseguendo un'ulteriore convalida durante il logging dei messaggi. Questo problema non riguarda i sistemi precedenti a Mac OS X 10.4. Ringraziamo Kevin Finisterre di DigitalMunition per aver segnalato questo problema.
OpenLDAP
CVE-ID: CVE-2006-1470
Disponibile per: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: utenti malintenzionati remoti possono causare il crash del server Open Directory
Descrizione: creando attentamente una richiesta LDAP non valida, un utente malintenzionato remoto può attivare un'asserzione nel server OpenLDAP, che genera un'interruzione del servizio. Questo aggiornamento risolve il problema ignorando la richiesta no valida. Questo problema non interessa i sistemi precedenti a Mac OS X 10.4. Ringraziamo il team di ricerca Mu Security per aver segnalato il problema.