Informazioni sul contenuto dell'aggiornamento di sicurezza 2009-001

Aggiornamento di sicurezza 2009-001

• Server AFP

  CVE-ID: CVE-2009-0142

  Disponibile per: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: un utente in grado di connettersi a un server AFP potrebbe causare un DoS (Denial of Service).

  Descrizione: una condizione di interferenza, in un server AFP, può provocare un loop infinito. L'enumerazione di archivi su un server AFP potrebbe generare un DoS (Denial of Service). Questo aggiornamento risolve il problema migliorando la gestione della logica di enumerazione degli archivi. Il problema riguarda solo i sistemi che eseguono Mac OS X v10.5.6.

• Apple Pixlet Video

  CVE-ID: CVE-2009-0009

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: l'apertura di un documento pericoloso può causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario

  Descrizione: è presente un problema di danneggiamento della memoria nella gestione dei filmati che utilizzano il codec Pixlet. L'apertura di un filmato pericoloso può causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Si ringrazia: Apple.

• CarbonCore

  CVE-ID: CVE-2009-0020

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: l'apertura di un archivio con un resource fork pericoloso può causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: è presente un problema di danneggiamento della memoria nella gestione dei resource fork da parte di Resource Manager. L'apertura di un archivio con un resource fork pericoloso può causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando la convalida dei resource fork. Si ringrazia: Apple.

• CFNetwork

  Disponibile per: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: ripristina il funzionamento corretto dei cookie che hanno tempi di scadenza pari a zero

  Descrizione: questo aggiornamento risolve un problema, non relativo alla sicurezza, presente in Mac OS X 10.5.6: se un sito Web cerca di impostare un cookie di sessione inserendo nel campo della scadenza un valore pari a zero anziché omettere il campo, l'impostazione dei cookie potrebbe non avvenire correttamente. Questo aggiornamento risolve il problema ignorando i campi della scadenza se contengono il valore zero.

• CFNetwork

  Disponibile per: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: ripristina il corretto funzionamento dei cookie di sessione per le diverse applicazioni.

  Descrizione: questo aggiornamento risolve un problema, non relativo alla sicurezza, presente in Mac OS X 10.5.6: se diverse applicazioni stanno cercando di impostare i cookie di sessione, CFNetwork potrebbe non salvare i cookie sul disco. Questo aggiornamento risolve il problema garantendo che ogni applicazione archivi i propri cookie di sessione separatamente.

• Assistente certificato

  CVE-ID: CVE-2009-0011

  Disponibile per: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: un utente locale potrebbe manipolare archivi con i privilegi di un altro utente che sta eseguendo Assistente certificato

  Descrizione: nella gestione degli archivi temporanei da parte di Assistente certificato, viene eseguita un'operazione non sicura sugli archivi. Questo potrebbe consentire a un utente locale di sovrascrivere degli archivi con i privilegi di un altro utente che sta eseguendo Assistente certificato. Questo aggiornamento risolve il problema migliorando la gestione dei documenti temporanei. Questo problema non riguarda i sistemi precedenti Mac OS X v10.5. Si ringrazia: Apple.

• ClamAV

  CVE-ID: CVE-2008-5050, CVE-2008-5314

  Disponibile per: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

  Impatto: sono presenti diversi problemi di vulnerabilità in ClamAV 0.94

  Descrizione: sono presenti diversi problemi di vulnerabilità in ClamAV 0.94, il più grave dei quali può comportare l'esecuzione arbitraria di codice. Questo aggiornamento risolve il problema aggiornando ClamAV alla versione 0.94.2. ClamAV viene distribuito solo con i sistemi Mac OS X Server. Per ulteriori informazioni, vedi il sito Web di ClamAV http://www.clamav.net/

• CoreText

  CVE-ID: CVE-2009-0012

  Disponibile per: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: la visualizzazione di contenuti Unicode pericolosi può causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: può verificarsi un buffer overflow dello heap durante l'elaborazione delle stringhe Unicode in CoreText. L'utilizzo di CoreText nella gestione di stringhe Unicode pericolose, ad esempio visitando pagine Web pericolose, può causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Questo problema non riguarda i sistemi precedenti a Mac OS X v10.5. Si ringrazia Rosyna di Unsanity per aver segnalato questo problema

• CUPS

  CVE-ID: CVE-2008-5183

  Disponibile per: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: visitando un sito Web pericoloso, può verificarsi la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: il superamento del numero massimo di iscrizioni a RSS provoca il dereferenziamento di un puntatore nullo nell'interfaccia Web CUPS. Questo può causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario quando si visita un sito Web pericoloso. Un malintenzionato può attivare questo problema se dispone di credenziali valide, oppure se queste sono archiviate nel browser Web dell'utente. Dopo l'attivazione del problema, CUPS viene automaticamente riavviato. L'aggiornamento risolve il problema gestendo in modo appropriato il numero di iscrizioni RSS. Il problema non interessa i sistemi precedenti Mac OS X v10.5.

• DS Tools

  CVE-ID: CVE-2009-0013

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: le password fornite a dscl possono essere esposte ad altri utenti locali

  Descrizione: lo strumento della riga di comando dscl richiede l'inserimento delle password tra i suoi argomenti, di conseguenza queste potrebbero risultare accessibili ad altri utenti locali. Anche le password di utenti e amministratori potrebbero essere accessibili. Questo aggiornamento rende opzionale il parametro delle password, quindi dscl richiederà la password quando necessario. Si ringrazia: Apple.

• fetchmail

  CVE-ID: CVE-2007-4565, CVE-2008-2711

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: diversi problemi di vulnerabilità in fetchmail 6.3.8

  Descrizione: sono presenti diversi problemi di vulnerabilità in fetchmail 6.3.8, il più grave dei quali può causare un DoS (Denial of Service). Questo aggiornamento risolve il problema aggiornando l'applicazione alla versione 6.3.9. Ulteriori informazioni sono disponibili sul sito di fetchmail all'indirizzo http://fetchmail.berlios.de/

• Folder Manager

  CVE-ID: CVE-2009-0014

  Disponibile per: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: altri utenti locali potrebbero accedere alla cartella Download

  Descrizione: è presente un problema relativo ai permessi di default in Folder Manager. Quando l'utente elimina la propria cartella Download, Folder Manager la crea nuovamente, ma questa viene creata senza limitazione dei permessi. Questo aggiornamento risolve il problema facendo in modo che Folder Manager limiti i permessi e la cartella sia accessibile solo per l'utente. Il problema riguarda solo le applicazioni che utilizzano Folder Manager. Questo problema non riguarda i sistemi precedenti a Mac OS X v10.5. Si ringrazia Graham Perrin di CENTRIM, Università di Brighton, per aver segnalato questo problema.

• FSEvents

  CVE-ID: CVE-2009-0015

  Disponibile per: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: utilizzando il framework FSEvents, un utente locale potrebbe essere in grado di visualizzare l'attività del filesystem, altrimenti non disponibile.

  Descrizione: in fseventsd è presente un problema di gestione delle credenziali. Utilizzando il framework FSEvents, un utente locale potrebbe essere in grado di visualizzare l'attività del filesystem, altrimenti non disponibile. Ciò comprende i nomi di directory che l'utente non potrebbe altrimenti visualizzare e il rilevamento di attività nella directory in un dato momento. Questo aggiornamento risolve il problema migliorando la convalida delle credenziali in fseventsd. Il problema non riguarda i sistemi precedenti a Mac OS X v10.5. Si ringrazia Mark Dalrymple per aver segnalato questo problema.

• Network Time

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: la configurazione del servizio Network Time è stata aggiornata

  Descrizione: questo aggiornamento modifica la configurazione di default del servizio Network Time. L'orario di sistema e le informazioni sulla versione non saranno più disponibili nella configurazione di default di ntpd. Sui sistemi Mac OS X v10.4.11, la nuova configurazione diventa effettiva dopo il riavvio, quando il servizio Network Time è attivo.

• perl

  CVE-ID: CVE-2008-1927

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: l'utilizzo di espressioni regolari contenenti caratteri UTF-8 può causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario

  Descrizione: è presente un problema di danneggiamento della memoria nella gestione di alcuni caratteri UTF-8 contenuti in espressioni regolari. L'analisi sintattica di espressioni regolari pericolose può causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario. L'aggiornamento risolve il problema effettuando un'ulteriore convalida delle credenziali di autenticazione.

• Stampa

  CVE-ID: CVE-2009-0017

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: un utente locale può ottenere privilegi di sistema

  Descrizione: è presente un problema nella gestione degli errori di csregprinter, che può causare un buffer overflow dello heap. Ciò può consentire a un utente locale di ottenere privilegi di sistema. Questo aggiornamento risolve il problema migliorando la gestione degli errori. Si ringrazia Lars Haulin per aver segnalato questo problema.

• python

  CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: diversi problemi di vulnerabilità in phyton

  Descrizione: sono presenti diversi problemi di vulnerabilità in phyton, il più grave dei quali può comportare l'esecuzione arbitraria di codice. Questo aggiornamento risolve il problema fornendo le patch per il progetto phyton.

• Apple Event remoti

  CVE-ID: CVE-2009-0018

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: l'invio di Apple Event remoti può causare la divulgazione di informazioni riservate

  Descrizione: è presente un problema di mancata inizializzazione del buffer nel server degli Apple Event remoti, che può causare la divulgazione di contenuti archiviati in memoria su client network. Questo aggiornamento risolve il problema migliorando l'inizializzazione della memoria. Si ringrazia: Apple.

• Apple Event remoti

  CVE-ID: CVE-2009-0019

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: l'attivazione di Apple Event remoti può causare la chiusura inattesa dell'applicazione o la divulgazione di informazioni riservate

  Descrizione: in Apple Event remoti è presente un problema di accesso alla memoria oltre i limiti. L'attivazione di Apple Event remoti può causare la chiusura inattesa dell'applicazione o la divulgazione di informazioni riservate. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Si ringrazia: Apple.

• Safari RSS

  CVE-ID: CVE-2009-0137

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: l'accesso a un URL feed pericoloso potrebbe causare l'esecuzione di codice arbitrario.

  Descrizione: Safari presenta diversi problemi nella convalida degli input durante la gestione degli URL feed. Tali problemi consentono l'esecuzione di JavaScript arbitrari nell'area di protezione locale. Questo aggiornamento risolve il problema migliorando la gestione dei JavaScript all'interno degli URL feed. Si ringraziano Clint Ruoho di Laconic Security, Billy Rios di Microsoft e Brian Mastenbrook per aver segnalato questi problemi.

• servermgrd

  CVE-ID: CVE-2009-0138

  Disponibile per: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: un malintenzionato in remoto potrebbe accedere a Server Manager senza disporre di credenziali valide.

  Descrizione: un problema di convalida delle credenziali nell'autenticazione di Server Manager può consentire a un malintenzionato collegato in remoto di modificare la configurazione del sistema. Questo aggiornamento risolve il problema eseguendo un'ulteriore convalida delle credenziali di autenticazione. Il problema non riguarda i sistemi precedenti Mac OS X v10.5. Si ringrazia: Apple.

• SMB

  CVE-ID: CVE-2009-0139

  Disponibile per: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: la connessione a un file system SMB pericoloso può causare l'arresto inatteso del sistema o l'esecuzione di codice arbitrario con privilegi di sistema.

  Descrizione: un integer overflow nel File System SMB può causare un buffer overflow dello heap. La connessione a un file system SMB pericoloso può causare l'arresto inatteso del sistema o l'esecuzione di codice arbitrario con privilegi di sistema. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Il problema non riguarda i sistemi precedenti Mac OS X v10.5. Si ringrazia: Apple.

• SMB

  CVE-ID: CVE-2009-0140

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  La connessione a un file server SMB pericoloso può causare l'arresto inatteso del sistema

  Descrizione: è presente un problema di esaurimento della memoria nella gestione dei nomi file system da parte del File System SMB. La connessione a un file server SMB pericoloso può causare l'arresto inatteso del sistema. L'aggiornamento risolve il problema limitando la quantità di memoria allocata dal client per i nomi file system. Si ringrazia: Apple.

• SquirrelMail

  CVE-ID: CVE-2008-2379, CVE-2008-3663

  Disponibile per: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

  Impatto: sono presenti diversi problemi di vulnerabilità in SquirrelMail

  Descrizione: SquirrelMail è stato aggiornato alla versione 1.4.17 per risolvere diversi problemi di vulnerabilità, il più grave dei quali può causare scripting di tipo cross-site. Per ulteriori informazioni, visita il sito Web SquirrelMail all'indirizzo http://www.SquirrelMail.org/

• X11

  CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: diversi problemi di vulnerabilità sul server X11

  Descrizione: sono presenti diversi problemi di vulnerabilità sul server X11. Il più grave di questi può causare, nel caso in cui un malintenzionato effettui l'autenticazione sul server X11, l'esecuzione di codice arbitrario con i privilegi dell'utente che utilizza il server X11. Questo aggiornamento risolve i problemi fornendo le patch X.Org aggiornate. Per ulteriori informazioni visita il sito Web di X.Org all'indirizzo http://www.x.org/wiki/Development/Security

• X11

  CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11

  Impatto: diversi problemi di vulnerabilità in FreeType v2.1.4

  Descrizione: sono presenti diversi problemi di vulnerabilità in FreeType v2.1.4, i più gravi dei quali possono causare l'esecuzione di codice arbitrario durante l'elaborazione di un font pericoloso. Questo aggiornamento risolve il problema fornendo le correzioni di sicurezza della versione 2.3.6 di FreeType. Per ulteriori informazioni visita il sito Web di FreeType all'indirizzo http://www.freetype.org/. Sui sistemi che eseguono Mac OS X v10.5.6 il problema è già stato risolto.

• X11

  CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11

  Impatto: diversi problemi di vulnerabilità in LibX11

  Descrizione: sono presenti diversi problemi di vulnerabilità in LibX11, il più grave dei quali può causare l'esecuzione di codice arbitrario durante l'elaborazione di un font pericoloso. Questo aggiornamento risolve i problemi fornendo le patch X.Org aggiornate. Per ulteriori informazioni visita il sito Web di X.Org all'indirizzo http://www.x.org/wiki/Development/Security. Il problema non riguarda i sistemi che eseguono Mac OS X v10.5 o versioni successive.

• XTerm

  CVE-ID: CVE-2009-0141

  Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Impatto: un utente locale potrebbe inviare informazioni direttamente a un altro utente di Xterm

  Descrizione: è presente un problema relativo ai permessi in Xterm. Quando viene utilizzato con luit, Xterm crea dei dispositivi tty accessibili da chiunque. Questo aggiornamento risolve il problema facendo in modo che Xterm limiti i permessi e i dispositivi tty siano accessibili solo per l'utente.