Informazioni sull'aggiornamento di sicurezza 2008-007

  • Ultima modifica: 22 ottobre, 2008
  • Articolo: HT3216

Riepilogo

Questo documento descrive l'aggiornamento di sicurezza 2008-007, che può essere scaricato e installato dalle preferenze di aggiornamento software o tramite la sezione Download del sito di Apple.

Per proteggere i propri clienti, Apple non divulga, discute o conferma alcun problema relativo alla sicurezza finché non è stata eseguita un'indagine approfondita e non sono disponibili le necessarie correzioni o aggiornamenti della versione. Per ulteriori informazioni sulla sicurezza dei prodotti Apple, accedi al sito web Aggiornamenti di sicurezza Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, leggi l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple."

Ove possibile, vengono usati gli ID CVE per ulteriori informazioni relative alle vulnerabilità.

Per ulteriori informazioni sugli aggiornamenti relativi alla sicurezza, leggi l'articolo "Aggiornamenti di sicurezza Appl."

Prodotti interessati

Sicurezza dei prodotti, Mac OS X 10.4.11, Mac OS X 10.5.5

Aggiornamento di sicurezza 2008-007

  • Apache

    CVE-ID: CVE-2007-6420, CVE-2008-1678, CVE-2008-2364

    Disponibile per: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: diverse vulnerabilità in Apache 2.2.8

    Descrizione: Apache è stato aggiornato alla versione 2.2.9 per risolvere diverse vulnerabilità, la più grave delle quali può comportare richieste false di tipo cross-site. Apache versione 2 non è integrato in sistemi Mac OS X Client precedenti alla versione 10.5. Apache versione 2 è integrato in sistemi Mac OS X Server v10.4.x, ma non è attivo per impostazione predefinita. Per ulteriori informazioni, consulta il sito Web di Apache all'indirizzo http://httpd.apache.org/

  • Certificati

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: i certificati principali sono stati aggiornati

    Descrizione: sono stati aggiunti diversi certificati attendibili alla lista di root di sistema. Diversi certificati esistenti sono stati aggiornati alla versione più recente. L'elenco completo dei root di sistema riconosciuti può essere visualizzato tramite l'applicazione Keychain Access.

  • ClamAV

    CVE-ID: CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

    Disponibile per: Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    Impatto: sono presenti diversi problemi di vulnerabilità in ClamAV 0.93.3

    Descrizione: sono presenti diversi problemi di vulnerabilità in ClamAV 0.93.3, il più grave dei quali può comportare l'esecuzione arbitraria di codice. Questo aggiornamento risolve i problemi effettuando l'aggiornamento a ClamAV 0.94. ClamAV non è integrato in sistemi Mac OS X Client. Per ulteriori informazioni, vedi il sito Web di ClamAV http://www.clamav.net/

  • ColorSync

    CVE-ID: CVE-2008-3642

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: l'apertura di un'immagine pericolosa può causare il blocco inatteso delle applicazioni o l'esecuzione arbitraria di codici

    Descrizione: overflow del buffer nella gestione delle immagini con profilo ICC incorporato. L'apertura di un'immagine pericolosa con un profilo ICC incorporato può comportare la chiusura inaspettata dell'applicazione o l'esecuzione arbitraria di codice. Questo aggiornamento risolve il problema eseguendo un'ulteriore convalida dei profili ICC nelle immagini. Credito: Apple.

  • CUPS

    CVE-ID: CVE-2008-3641

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: un malintenzionato può causare l'esecuzione arbitraria di codice con i privilegi di utente 'lp'

    Descrizione: nel filtro HPGL (Hewlett-Packard Graphics Language) è stato rilevato un problema di controllo dell'intervallo che potrebbe causare la sovrascrittura arbitraria della memoria con dati controllati. Se la funzione Condivisione stampante è attivata, un malintenzionato può causare l'esecuzione arbitraria di codice con i privilegi di utente 'lp'. Se la funzione Condivisione stampanti non è attivata, un utente locale potrebbe ottenere privilegi di livello superiore. Questo aggiornamento risolve il problema grazie all'esecuzione di controlli aggiuntivi dei limiti del buffer. Ringraziamo regenrecht che lavora con Zero Day Initiative di TippingPoint per aver segnalato questo problema.

  • Finder

    CVE-ID: CVE-2008-3643

    Disponibile per: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: un file sulla Scrivania potrebbe causare un DoS (Denial of Service)

    Descrizione: nel Finder è presente un problema di ripristino dagli errori. Un file pericoloso sulla Scrivania che provoca la chiusura inaspettata del Finder quando si genera la relativa icona provocherà continuamente la chiusura e il riavvio del Finder. Finché il file non viene eliminato, non sarà possibile accedere all'account utente tramite l'interfaccia utente del Finder. Questo aggiornamento risolve il problema generando le icone in un processo separato. Questo problema non riguarda i sistemi precedenti a Mac OS X v10.5. Ringraziamo Sergio 'shadown' Alvarez di n.runs AG per aver segnalato questo problema.

  • launchd

    Disponibile per: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: le applicazioni non riescono a entrare in modalità sandbox quando richiesto

    Descrizione: questo aggiornamento risolve un problema legato a Mac OS X v10.5.5. Un problema di implementazione in launchd potrebbe impedire il buon esito della richiesta di un'applicazione di entrare in modalità sandbox. Questo problema non riguarda i programmi che usano l'API sandbox_init documentata. Questo aggiornamento risolve il problema fornendo una versione aggiornata di launchd. Il problema non interessa i sistemi precedenti Mac OS X v10.5.5.

  • libxslt

    CVE-ID: CVE-2008-1767

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: l'elaborazione di un documento XML può causare il blocco inatteso delle applicazioni o l'esecuzione di codice arbitrario

    Descrizione: problema di overflow del buffer della memoria heap nella libreria libxslt. Visitando un pagina HTML pericolosa si potrebbe incorrere nella chiusura imprevista delle applicazioni o nell'esecuzione di codice arbitrario. Per ulteriori informazioni sulla patch applicata consultare il sito http://xmlsoft.org/XSLT/. Ringraziamo Anthony de Almeida Lopes di Outpost24 AB e Chris Evans di Google Security Team per aver segnalato questo problema.

  • MySQL Server

    CVE-ID: CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

    Disponibile per: Mac OS X Server v10.5.5

    Impatto: diverse vulnerabilità in MySQL 5.0.45

    Descrizione: MySQL è stato aggiornato alla versione 5.0.67 per risolvere diverse vulnerabilità, la più grave delle quali può comportare l'esecuzione arbitraria di codice. Questi problemi riguardano solo i sistemi Mac OS X Server. Per ulteriori informazioni, consultare il sito Web di MySQL all'indirizzo http://dev.mysql.com/doc/refman/5.0/en/releasenotes-cs-5-0-67.html

  • Networking

    CVE-ID: CVE-2008-3645

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: un utente locale può ottenere privilegi di sistema

    Descrizione: nel componente IPC locale del plugin EAPOLController di configd è presente un overflow del buffer della memoria heap che potrebbe consentire a un utente locale di ottenere privilegi di sistema. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Credito: Apple.

  • PHP

    CVE-ID: CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    Impatto: sono presenti diverse vulnerabilità in PHP 4.4.8

    Descrizione: l'aggiornamento di PHP alla versione 4.4.9 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali può comportare l'esecuzione di codice arbitrario. Per ulteriori informazioni, consulta il sito PHP all'indirizzo http://www.php.net/. Questi problemi riguardano solo i sistemi che eseguono Mac OS X v10.4.x, Mac OS X Server v10.4.x o Mac OS X Server v10.5.x.

  • Postfix

    CVE-ID: CVE-2008-3646

    Disponibile per: Mac OS X v10.5.5

    Impatto: un malintenzionato che accede in remoto potrebbe riuscire a mandare e-mail direttamente agli utenti locali

    Descrizione: è stato rilevato un problema nei file di configurazione Postfix. Per un periodo di un minuto dopo l'invio dell'e-mail da parte dello strumento della riga di comando locale, è possibile accedere a postfix dalla rete. Durante questo periodo, un'entità remota potrebbe collegarsi alla porta SMTP e inviare e-mail agli utenti locali o usare il protocollo SMTP in altro modo. Questo problema non trasforma il sistema in un relay di posta aperto. Questo problema viene risolto modificando la configurazione di Postfix per impedire le connessioni SMTP da computer remoti. Questo problema non riguarda sistemi precedenti a Mac OS X v10.5 né Mac OS X Server. Ringraziamo Pelle Johansson per aver segnalato questo problema.

  • PSNormalizer

    CVE-ID: CVE-2008-3647

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: la visualizzazione di un file PostScript pericoloso potrebbe provocare la chiusura inaspettata dell'applicazione o l'esecuzione arbitraria di codice

    Descrizione: nella gestione del commento del riquadro di selezione da parte di PSNormalizer nei file PostScript è stato rilevato un overflow del buffer. Impatto: la visualizzazione di un file PostScript pericoloso potrebbe provocare la chiusura inaspettata dell'applicazione o l'esecuzione arbitraria di codice. Questo aggiornamento risolve il problema grazie all'esecuzione di un'ulteriore convalida dei file PostScript. Credito: Apple.

  • QuickLook

    CVE-ID: CVE-2008-4211

    Disponibile per: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: il download o la visualizzazione di un file Microsoft Excel pericoloso potrebbe provocare la chiusura inaspettata dell'applicazione o l'esecuzione arbitraria di codice

    Descrizione: nella gestione delle colonne da parte di QuickLook nei file Microsoft Excel è stato rilevato un problema di signedness che potrebbe risultare in un accesso alla memoria oltre i limiti. Il download o la visualizzazione di un file Microsoft Excel Pericoloso potrebbe provocare la chiusura inaspettata dell'applicazione o l'esecuzione arbitraria di codice. Questo aggiornamento risolve il problema grazie all'esecuzione di un'ulteriore convalida dei file Microsoft Excel. Questo problema non riguarda i sistemi precedenti Mac OS X v10.5. Credito: Apple.

  • rlogin

    CVE-ID: CVE-2008-4212

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: i sistemi che sono stati configurati a mano per usare rlogin e host.equiv potrebbero consentire inaspettatamente un accesso root

    Descrizione: la pagina del manuale per il file di configurazione hosts.equiv indica che le voci non si applicano al root. Tuttavia, un problema di implementazione in rlogind provoca l'applicazione di tali voci anche al root. Questo aggiornamento risolve il problema impedendo correttamente rlogin per l'utente root se il sistema remoto è in hosts.equiv. Il servizio rlogin non è attivato per impostazione predefinita in Mac OS X e deve essere configurato manualmente per essere attivato. Ringraziamo Ralf Meyer per aver segnalato questo problema.

  • Script Editor

    CVE-ID: CVE-2008-4214

    Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: un utente locale potrebbe ottenere i privilegi di un altro utente che usa Script Editor

    Descrizione: nell'applicazione Script Editor è stato rilevato un problema di file non sicuro all'apertura dei dizionari di scripting dell'applicazione. Un utente locale può causare la scrittura del dizionario di scripting in un percorso arbitrario accessibile dall'utente che usa l'applicazione. Questo aggiornamento risolve il problema creando il file temporaneo in una posizione sicura. Credito: Apple.

  • Single Sign-On (SSO)

    Disponibile per: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: il comando sso_util accetta ora password da un file

    Descrizione: il comando sso_util accetta ora password da un file denominato nella variabile di ambiente SSO_PASSWD_PATH. Questo consente agli script automatizzati di usare sso_util in modo più sicuro.

  • Tomcat

    CVE-ID: CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461

    Disponibile per: Mac OS X Server v10.5.5

    Impatto: sono presenti diverse vulnerabilità in Tomcat 6.0.14

    Descrizione: nei sistemi Mac OS X v10.5, Tomcat viene aggiornato alla versione 6.0.18 per correggere diverse vulnerabilità, la più grave delle quali può attivare un attacco di tipo cross-site scripting. Questi problemi riguardano solo i sistemi Mac OS X Server. Per ulteriori informazioni, visita il sito Tomcat all'indirizzo http://tomcat.apache.org/

  • vim

    CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

    Disponibile per: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impatto: diverse vulnerabilità in vim 7.0

    Descrizione: in vim 7.0 sono state rilevate diverse vulnerabilità, la più grave delle quali potrebbe comportare l'esecuzione di codice arbitrario se si lavora con file pericolosi. Questo aggiornamento risolve i problemi effettuando l'aggiornamento a vim 7.2.0.22. Per ulteriori informazioni, consultare il sito Web vim all'indirizzo http://www.vim.org/

  • Weblog

    CVE-ID: CVE-2008-4215

    Disponibile per: Mac OS X Server v10.4.11

    Impatto: non è possibile forzare il controllo degli accessi su weblog posting

    Descrizione: sul server WebLog è stata rilevata una condizione di errore non controllata. L'aggiunta di un utente con più nomi brevi all'elenco di controllo degli accessi per un weblog posting potrebbe impedire al server Weblog di forzare il controllo degli accessi. Questo problema è stato risolto migliorando il modo in cui le liste di controllo degli accessi vengono salvate. Questo problema riguarda solo i sistemi che eseguono Mac OS X Server v10.4. Credito: Apple.

Important: Le citazioni di siti Web e prodotti di terze parti sono soltanto a scopo informativo e non costituiscono né una approvazione, né una raccomandazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all’utilizzo di informazioni o prodotti reperibili presso i siti Web di terze parti. Apple fornisce queste informazioni solo per comodità dei propri utenti. Apple non ha verificato le informazioni reperibili su questi siti e non esprime alcuna opinione in merito alla loro precisione o affidabilità. Esistono rischi inerenti l’utilizzo di informazioni o prodotti reperibili in Internet e Apple non si assume alcuna responsabilità al riguardo. Qualsiasi sito di terze parti è indipendente da Apple e Apple non esercita alcun controllo sul contenuto di tali siti Web. Per ulteriori informazioni, si prega di contattare il produttore.

Not helpful Somewhat helpful Helpful Very helpful Solved my problem