Informazioni sull'aggiornamento di sicurezza 2010-001

In questo documento viene descritto l'aggiornamento di sicurezza 2010-001, che può essere scaricato tramite le preferenze di Aggiornamento Software o da Download Apple.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple".

Aggiornamento di sicurezza 2010-001

  • CoreAudio

    CVE-ID: CVE-2010-0036

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2

    Impatto: la riproduzione di un file audio mp4 pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer nella gestione di file audio mp4. La riproduzione di un file audio mp4 pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto attraverso un migliore controllo dei limiti. Ringraziamo Tobias Klein di www.trapkit.de per aver segnalato il problema.

  • CUPS

    CVE-ID: CVE-2009-3553

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2

    Impatto: un utente malintenzionato remoto potrebbe causare la chiusura improvvisa dell'applicazione di cupsd

    Descrizione: si verifica un problema di vulnerabilità use-after-free in cupsd. Emettendo una richiesta di stampa pericolosa un utente malintenzionato potrebbe causare un'interruzione remota del servizio. Il problema si riduce mediante il riavvio automatico di cupsd dopo la sua chiusura. Il problema è stato risolto attraverso un migliore tracciamento dell'uso della connessione.

  • Flash Player plug-in

    CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2

    Impatto: diverse vulnerabilità nel plug-in di Adobe Flash Player

    Descrizione: si verificano diversi problemi nel plug-in di Adobe Flash Player, il più grave dei quali può causare l'esecuzione di codice arbitrario quando si visualizza un sito web pericoloso. I problemi si risolvono aggiornando il plug-in Flash Player alla versione 10.0.42. Ulteriori informazioni sono disponibili sul sito web di Adobe all'indirizzo http://www.adobe.com/support/security/bulletins/apsb09-19.html Ringraziamo un ricercatore anonimo e Damian Put in collaborazione con Zero Day Initiative di TippingPoints, Bing Liu del FortiGuard Global Security Research Team di Fortinet, Will Dormann di CERT, Manuel Caballero e Microsoft Vulnerability Research (MSVR).

  • ImageIO

    CVE-ID: CVE-2009-2285

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Impatto: la visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un underflow del buffer nella gestione delle immagini TIFF da parte di ImageIO. La visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto attraverso un migliore controllo dei limiti. Per i sistemi Mac OS X 10.6, questo problema viene risolto in Mac OS X 10.6.2.

  • Image RAW

    CVE-ID: CVE-2010-0037

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2

    Impatto: la visualizzazione di un'immagine DNG pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer nella gestione delle immagini DNG da parte di Image RAW. La visualizzazione di un'immagine DNG pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto attraverso un migliore controllo dei limiti. Ringraziamo Jason Carr di Carnegie Mellon University Computing Services per aver segnalato il problema.

  • OpenSSL

    CVE-ID: CVE-2009-3555

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2

    Impatto: un utente malintenzionato con una posizione di rete privilegiata potrebbe acquisire dati o modificare le operazioni eseguite nelle sessioni protette da SSL

    Descrizione: si verifica un problema di vulnerability man-in-the-middle nei protocolli SSL e TLS. Ulteriori informazioni sono disponibili all'indirizzo http://www.phonefactor.com/sslgap Una modifica del protocollo di rinegoziazione è in corso all'interno di IETF. Questo aggiornamento disabilita la rinegoziazione in OpenSSL come misura di sicurezza preventiva. Il problema non interessa i servizi che usano Secure Transport, poiché questo servizio non supporta la rinegoziazione. Ringraziamo Steve Dispensa e Marsh Ray di PhoneFactor, Inc. per aver segnalato questo problema.

Importante: il riferimento a siti web e prodotti di terze parti ha scopo puramente informativo e non costituisce sponsorizzazione né consiglio. Apple non si assume alcuna responsabilità in relazione alla selezione, alle prestazioni o all'utilizzo di informazioni o prodotti trovati su siti web di terze parti. Apple fornisce questo tipo di informazioni solo per comodità degli utenti. Apple non ha testato le informazioni che si trovano su tali siti e non ne rappresenta in alcun modo l'esattezza e l'affidabilità. Esistono rischi connessi all'utilizzo di informazioni o prodotti trovati su internet e Apple non si assume alcuna responsabilità al riguardo. Ricordiamo che i siti di terze parti sono indipendenti da Apple e che Apple non ha alcun controllo sui contenuti di tali siti web. Per ulteriori informazioni, contatta il fornitore.

Data di pubblicazione: