Informazioni sull'aggiornamento di sicurezza 2010-005

In questo documento viene descritto l'aggiornamento di sicurezza 2010-005.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta l'articolo che parla degli aggiornamenti di sicurezza Apple.

Aggiornamento di sicurezza 2010-005

  • ATS

    CVE-ID: CVE-2010-1808

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impatto: la visualizzazione o il download di un documento contenente un font pericoloso incorporato può causare l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer nella gestione da parte di Apple Type Services di caratteri incorporati. La visualizzazione o il download di un documento contenente un font pericoloso incorporato può causare l'esecuzione di codice arbitrario. Il problema è stato risolto attraverso un migliore controllo dei limiti.

  • CFNetwork

    CVE-ID: CVE-2010-1800

    Disponibile per: Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impatto: un utente malintenzionato con una posizione privilegiata nella rete può intercettare le credenziali dell'utente o altre informazioni riservate

    Descrizione: CFNetwork consente connessioni TLS/SSL anonime. Ciò consentiva a un malintenzionato di portare a termine attacchi man-in-the-middle reindirizzando le connessioni e intercettando le credenziali utente o altre informazioni riservate. Il problema non interessa l'applicazione Mail. Il problema è stato risolto disabilitando le connessioni TLS/SSL anonime. Il problema non interessa i sistemi precedenti a Mac OS X 10.6.3. Ringraziamo Aaron Sigel di vtty.com, Jean-Luc Giraud di Citrix, Tomas Bjurman di Sirius IT e Wan-Teh Chang di Google, Inc. per aver segnalato il problema.

  • ClamAV

    CVE-ID: CVE-2010-0098, CVE-2010-1311

    Disponibile per: Mac OS X Server 10.5.8, Mac OS X Server 10.6.4

    Impatto: diverse vulnerabilità in ClamAV

    Descrizione: si verificano diverse vulnerabilità in ClamAV, la più grave delle quali potrebbe causare l'esecuzione di codice arbitrario. Questo aggiornamento risolve i problemi aggiornando ClamAV alla versione 0.96.1. ClamAV è distribuito solo con i sistemi Mac OS X Server. Ulteriori informazioni sono disponibili sul sito web di ClamAV all'indirizzo http://www.clamav.net/

  • CoreGraphics

    CVE-ID: CVE-2010-1801

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impatto: la riproduzione di un file PDF pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer della memoria heap nella gestione dei file PDF da parte di CoreGraphics. L'apertura di un file PDF pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto attraverso un migliore controllo dei limiti. Ringraziamo Rodrigo Rubira Branco del Check Point Vulnerability Discovery Team (VDT) per aver segnalato il problema.

  • libsecurity

    CVE-ID: CVE-2010-1802

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impatto: un utente malintenzionato con una posizione privilegiata nella rete può ottenere un nome di dominio che si differenzia dal nome di un dominio legittimo solo per gli ultimi caratteri e assumere l'identità degli host

    Descrizione: si verifica un problema nella gestione dei nomi host del certificato. Nei nomi host con tre o più componenti, gli ultimi caratteri non vengono confrontati correttamente. Se un nome contiene esattamente tre componenti, solo l'ultimo carattere non viene controllato. Per esempio, se un utente malintenzionato con una posizione privilegiata nella rete ottiene un certificato per www.example.con, può fingersi www.example.com. Il problema è stato risolto attraverso una migliore gestione dei nomi host del certificato. Ringraziamo Peter Speck per aver segnalato il problema.

  • PHP

    CVE-ID: CVE-2010-1205

    Disponibile per: Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impatto: il caricamento di un'immagine PNG pericolosa può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer nella libreria libpng di PHP. Il caricamento di un'immagine PNG pericolosa può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto aggiornando libpng di PHP alla versione 1.4.3. Il problema non interessa i sistemi precedenti a Mac OS X 10.6.

  • PHP

    CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484

    Disponibile per: Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impatto: diverse vulnerabilità in PHP 5.3.1

    Descrizione: PHP è aggiornato alla versione 5.3.2 per risolvere diverse vulnerabilità, la più grave delle quali può causare l'esecuzione di codice arbitrario. Ulteriori informazioni sono disponibili sul sito web PHP alla pagina http://www.php.net/

  • Samba

    CVE-ID: CVE-2010-2063

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impatto: un utente malintenzionato non autenticato collegato in remoto può provocare un'interruzione del servizio o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer in Samba. Un utente malintenzionato non autenticato collegato in remoto può provocare un'interruzione del servizio o l'esecuzione di codice arbitrario inviando un pacchetto pericoloso. Il problema è stato risolto eseguendo un'ulteriore convalida dei pacchetti in Samba.

Importante: il riferimento a siti web e prodotti di terze parti ha scopo puramente informativo e non costituisce sponsorizzazione né consiglio. Apple non si assume alcuna responsabilità in relazione alla selezione, alle prestazioni o all'utilizzo di informazioni o prodotti trovati su siti web di terze parti. Apple fornisce questo tipo di informazioni solo per comodità degli utenti. Apple non ha testato le informazioni che si trovano su tali siti e non ne rappresenta in alcun modo l'esattezza e l'affidabilità. Esistono rischi connessi all'utilizzo di informazioni o prodotti trovati su internet e Apple non si assume alcuna responsabilità al riguardo. Ricordiamo che i siti di terze parti sono indipendenti da Apple e che Apple non ha alcun controllo sui contenuti di tali siti web. Per ulteriori informazioni, contatta il fornitore.

Data di pubblicazione: