Informazioni sul contenuto di Mac OS X 10.6.7 e sull'aggiornamento di sicurezza 2011-001

In questo documento vengono descritti il contenuto di sicurezza di Mac OS X 10.6.7 e l'aggiornamento di sicurezza 2011-001.

In questo documento vengono descritti il contenuto di sicurezza di Mac OS X 10.6.7 e l'aggiornamento di sicurezza 2011-001, che può essere scaricato e installato dalle preferenze di Aggiornamento Software o dalla pagina dei download di Apple.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple".

Mac OS X 10.6.7 e aggiornamento della sicurezza 2011-001

  • AirPort

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: durante la connessione alla rete Wi-Fi, un malintenzionato connesso alla stessa rete potrebbe causare il ripristino del sistema.

    Descrizione: si verificava un errore di divisione per zero nella gestione dei frame Wi-Fi. Durante la connessione alla rete Wi-Fi, un malintenzionato connesso alla stessa rete poteva causare il ripristino del sistema. Il problema non interessa i sistemi meno recenti di Mac OS X 10.6.

    CVE-ID

    CVE-2011-0172

  • Apache

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: diversi problemi di vulnerabilità in Apache 2.2.15.

    Descrizione: l'aggiornamento di Apache alla versione 2.2.17 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali potrebbe portare all'interruzione del servizio. Per ulteriori informazioni consulta il sito web di Apache all'indirizzo http://httpd.apache.org/.

    CVE-ID

    CVE-2010-1452

    CVE-2010-2068

  • AppleScript

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'esecuzione di un'applicazione basata su AppleScript Studio che consente il passaggio di input non affidabile a una finestra di dialogo potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema relativo alla stringa di formato nei comandi generici della finestra di dialogo di AppleScript Studio. L'esecuzione di un'applicazione basata su AppleScript Studio che consente il passaggio di input non affidabile a una finestra di dialogo poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2011-0173: Alexander Strange

  • ATS

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: la visualizzazione o il download di un documento contenente un font pericoloso incorporato potrebbe comportare l'esecuzione di codice arbitrario.

    Descrizione: nella gestione dei font OpenType si verificava un overflow del buffer della memoria heap. La visualizzazione o il download di un documento contenente un font pericoloso incorporato poteva comportare l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2011-0174

  • ATS

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: la visualizzazione o il download di un documento contenente un font pericoloso incorporato potrebbe comportare l'esecuzione di codice arbitrario.

    Descrizione: nella gestione dei font TrueType si verificavano diversi problemi di overflow del buffer. La visualizzazione o il download di un documento contenente un font pericoloso incorporato poteva comportare l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2011-0175: Christoph Diehl di Mozilla, Felix Grobert di Google Security Team, Marc Schoenefeld di Red Hat Security Response Team, Tavis Ormandy e Will Drewry di Google Security Team

  • ATS

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: la visualizzazione o il download di un documento contenente un font pericoloso incorporato potrebbe comportare l'esecuzione di codice arbitrario.

    Descrizione: nella gestione dei font Type 1 si verificavano diversi problemi di overflow del buffer. La visualizzazione o il download di un documento contenente un font pericoloso incorporato poteva comportare l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2011-0176: Felix Grobert di Google Security Team, collaboratore esperto di Zero Day Initiative di TippingPoint

  • ATS

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: la visualizzazione o il download di un documento contenente un font pericoloso incorporato potrebbe comportare l'esecuzione di codice arbitrario.

    Descrizione: nella gestione delle tabelle SFNT si verificavano diversi problemi di overflow del buffer. La visualizzazione o il download di un documento contenente un font pericoloso incorporato poteva comportare l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2011-0177: Marc Schoenefeld di Red Hat Security Response Team

  • bzip2

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'utilizzo dello strumento bzip2 o bunzip2 della riga di comando per decomprimere un file bzip2 potrebbe determinare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di overflow di numero intero nella gestione di bzip2 dei file bzip2 compressi. L'utilizzo della strumento bzip2 o bunzip2 della riga di comando per decomprimere un file bzip2 poteva determinare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2010-0405

  • CarbonCore

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: le applicazioni che utilizzano FSFindFolder() con il flag kTemporaryFolderType potrebbero essere vulnerabili alla divulgazione di informazioni.

    Descrizione: quando utilizzato con il flag kTemporaryFolderType, l'API FSFindFolder() restituisce una cartella a lettura universale. Questo problema viene risolto restituendo una cartella leggibile solo dall'utente per il quale il processo è in esecuzione.

    CVE-ID

    CVE-2011-0178

  • ClamAV

    Disponibile per: Mac OS X Server 10.5.8, Mac OS X Server 10.6.6

    Impatto: diverse vulnerabilità in ClamAV.

    Descrizione: sono presenti diversi problemi di vulnerabilità in ClamAV, il più grave dei quali può comportare l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema aggiornando ClamAV alla versione 0.96.5. ClamAV viene distribuito solo con i sistemi Mac OS X Server. Per ulteriori informazioni visita il sito web di ClamAV http://www.clamav.net/

    CVE-ID

    CVE-2010-0405

    CVE-2010-3434

    CVE-2010-4260

    CVE-2010-4261

    CVE-2010-4479

  • CoreText

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: la visualizzazione o il download di un documento contenente un font pericoloso incorporato potrebbe comportare l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di corruzione della memoria nella gestione dei file dei font da parte di CoreText. La visualizzazione o il download di un documento contenente un font pericoloso incorporato poteva comportare l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2011-0179: Christoph Diehl di Mozilla

  • Quarantena dei file

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: aggiunta di una definizione.

    Descrizione: la definizione OSX.OpinionSpy è stata aggiunta al controllo dei malware nella quarantena dei file.

  • HFS

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: un utente locale potrebbe essere in grado di leggere file arbitrari da un file system HFS, HFS+ o HFS+J.

    Descrizione: si verificava un problema di overflow di numero intero nella gestione del controllo ioct F_READBOOTSTRAP. Un utente locale poteva essere in grado di leggere file arbitrari da un file system HFS, HFS+ o HFS+J.

    CVE-ID

    CVE-2011-0180: Dan Rosenberg di Virtual Security Research

  • ImageIO

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: nella gestione delle immagini JPEG di ImageIO si verificava un overflow del buffer della memoria heap. L'accesso a un sito web pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

     

    CVE-ID

    CVE-2011-0170: Andrzej Dyjak, collaboratore di iDefense VCP

  • ImageIO

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'apertura di un'immagine XBM pericolosa potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di overflow di numero intero nella gestione delle immagini XBM da parte di ImageIO. L'apertura di un'immagine XBM pericolosa poteva provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2011-0181: Harry Sintonen

  • ImageIO

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'apertura di un'immagine TIFF pericolosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione delle immagini TIFF codificate in JPEG di libTIFF. L'apertura di un'immagine TIFF pericolosa poteva causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'apertura di un'immagine TIFF pericolosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione delle immagini TIFF codificate in CCITT Group 4 di libTIFF. L'apertura di un'immagine TIFF pericolosa poteva causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2011-0192: Apple

  • ImageIO

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'apertura di un'immagine TIFF con codifica JPEG pericolosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di overflow di numero intero nella gestione delle immagini TIFF codificate in JPEG da parte di ImageIO. L'apertura di un'immagine TIFF pericolosa poteva causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario. Il problema non interessa i sistemi meno recenti di Mac OS X 10.6.

    CVE-ID

    CVE-2011-0194: Dominic Chell di NGS Secure

  • Formato RAW delle immagini

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'apertura di un'immagine RAW Canon pericolosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di overflow del buffer nella gestione delle immagini RAW Canon in formato RAW. L'apertura di un'immagine RAW Canon pericolosa poteva causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2011-0193: Paul Harrington di NGS Secure

  • Installazione

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'accesso a un sito web pericoloso potrebbe comportare l'installazione di un agente che contatta un server arbitrario quando l'utente effettua l'accesso, portando così l'utente a pensare erroneamente che la connessione sia stata instaurata con Apple.

    Descrizione: un problema di elaborazione degli URL in Install Helper potrebbe determinare l'installazione di un agente che contatta un server arbitrario quando l'utente effettua l'accesso. La finestra di dialogo risultante da una connessione non riuscita potrebbe portare l'utente a pensare che il tentativo di connessione fosse stato effettuato con Apple. Questo problema viene risolto rimuovendo Install Helper.

    CVE-ID

    CVE-2011-0190: Aaron Sigel di vtty.com

  • Kerberos

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: diverse vulnerabilità in MIT Kerberos 5.

    Descrizione: si verificavano diversi problemi di crittografia in MIT Kerberos 5. Solo il CVE-2010-1323 interessa Mac OS X 10.5. Ulteriori informazioni sui problemi e sulle patch applicate sono disponibili tramite il sito web di MIT Kerberos http://web.mit.edu/Kerberos/.

    CVE-ID

    CVE-2010-1323

    CVE-2010-1324

    CVE-2010-4020

    CVE-2010-4021

  • Kernel

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: un utente locale può eseguire codici arbitrari con privilegi di sistema.

    Descrizione: si verificava un problema di controllo dei privilegi nella gestione dei gate di chiamata della chiamata di sistema i386_set_ldt. Un utente locale poteva eseguire codici arbitrari con privilegi di sistema. Questo problema viene risolto non consentendo la creazione di voci gate di chiamata tramite i386_set_ldt().

    CVE-ID

    CVE-2011-0182: Jeff Mears

  • Libinfo

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: un utente remoto malintenzionato potrebbe essere in grado di causare un DoS ("Denial of Service") che esporti i file system NFS.

    Descrizione: si verificava un problema di troncamento di numeri interi nella gestione dei pacchetti NFS RPC da parte di Libinfo. Un utente remoto malintenzionato poteva determinare la mancata risposta di servizi NFS RPC come lockd, statd, mountd e portmap.

    CVE-ID

    CVE-2011-0183: Peter Schwenk dell'Università di Delaware

  • libxml

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: nella gestione di XPath con libxml si verificava un problema di corruzione della memoria. L'accesso a un sito web pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2010-4008: Bui Quang Minh di Bkis (www.bkis.com)

  • libxml

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: nella gestione di espressioni XPath con libxml si verificava un problema di double free. L'accesso a un sito web pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema non interessa i sistemi meno recenti di Mac OS X 10.6.

    CVE-ID

    CVE-2010-4494: Yang Dingning di NCNIPC, Università di Specializzazione dell'Accademia Cinese delle Scienze

  • Mailman

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: diverse vulnerabilità in Mailman 2.1.13.

    Descrizione: si verificavano diversi problemi di scripting cross-site in Mailman 2.1.13. Questi problemi sono stati risolti aggiornando Mailman alla versione 2.1.14. Ulteriori informazioni sono disponibili sul sito web di Mailman http://mail.python.org/pipermail/mailman-announce/2010-September/000154.html.

    CVE-ID

    CVE-2010-3089

  • PHP

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: sono presenti diverse vulnerabilità in PHP 5.3.3.

    Descrizione: l'aggiornamento di PHP alla versione 5.3.4 consente di risolvere diverse vulnerabilità, la più grave delle quali può comportare l'esecuzione di codice arbitrario. Per ulteriori informazioni consulta il sito web PHP all'indirizzo http://www.php.net.

    CVE-ID

    CVE-2006-7243

    CVE-2010-2950

    CVE-2010-3709

    CVE-2010-3710

    CVE-2010-3870

    CVE-2010-4150

    CVE-2010-4409

  • PHP

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Impatto: sono presenti diverse vulnerabilità in PHP 5.2.14.

    Descrizione: l'aggiornamento di PHP alla versione 5.2.15 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali può comportare l'esecuzione arbitraria di codici. Per ulteriori informazioni consulta il sito web PHP all'indirizzo http://www.php.net.

    CVE-ID

    CVE-2010-3436

    CVE-2010-3709

    CVE-2010-4150

  • QuickLook

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: il download di un file Excel pericoloso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di corruzione della memoria nella gestione dei file Excel da parte di QuickLook. Il download di un file Excel pericoloso poteva provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Il problema non interessa i sistemi meno recenti di Mac OS X 10.6.

    CVE-ID

    CVE-2011-0184: Tobias Klein, collaboratore di Verisign iDefense Labs

  • QuickLook

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: il download di un file Microsoft Office pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di corruzione della memoria nella gestione dei file Microsoft Office da parte di QuickLook. Il download di un file Microsoft Office pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2011-1417: Charlie Miller e Dion Blazakis, collaboratori di Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'apertura di un'immagine JPEG2000 pericolosa con QuickTime può determinare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di corruzione della memoria nella gestione delle immagini JPEG2000 da parte di QuickTime. L'apertura di un'immagine JPEG2000 pericolosa con QuickTime poteva determinare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2011-0186: Will Dormann di CERT/CC

  • QuickTime

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow di numeri interi nella gestione dei file video da parte di QuickTime. La visualizzazione di un filmato pericoloso poteva provocare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario. Per Mac OS X 10.5 questo problema è stato risolto in QuickTime 7.6.9.

    CVE-ID

    CVE-2010-4009: Honggang Ren di Fortinet's FortiGuard Labs

  • QuickTime

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'apertura di un'immagine FlashPix pericolosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di corruzione della memoria nella gestione delle immagini FlashPix di QuickTime. L'apertura di un'immagine FlashPix pericolosa poteva causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario. Per Mac OS X 10.5 questo problema è stato risolto in QuickTime 7.6.9.

    CVE-ID

    CVE-2010-3801: Damian Put, collaboratore di Zero Day Initiative di TippingPoint e Rodrigo Rubira Branco del Check Point Vulnerability Discovery Team

  • QuickTime

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'accesso a un sito web pericoloso potrebbe comportare la divulgazione dei dati video da un altro sito.

    Descrizione: si verificava un problema di diverse origini nella gestione dei reindirizzamenti cross-site da parte di QuickTime. L'accesso a un sito web pericoloso poteva comportare la divulgazione dei dati video da un altro sito. Questo problema è stato risolto evitando che QuickTime sia oggetto di reindirizzamenti cross-site.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai e Microsoft Vulnerability Research (MSVR)

  • QuickTime

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: la visualizzazione di un filmato QTVR pericoloso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di corruzione della memoria nella gestione degli atom dei dati del panorama nei filmati QTVR (QuickTime Virtual Reality) da parte di QuickTime. La visualizzazione di un filmato QTVR pericoloso poteva provocare la chiusura inattesa delle applicazioni o l'esecuzione di codice arbitrario. Per Mac OS X 10.5 questo problema è stato risolto in QuickTime 7.6.9.

    CVE-ID

    CVE-2010-3802: un ricercatore anonimo che collabora con Zero Day Initiative di TippingPoint

  • Ruby

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: l'esecuzione di uno script Ruby che utilizza un input non affidabile per inizializzare un oggetto BigDecimal può comportare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di troncamento di numeri interi nella classe BigDecimal dello script Ruby. L'esecuzione di uno script Ruby che utilizza un input non affidabile per inizializzare un oggetto BigDecimal poteva comportare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario. Questo problema interessa solo i processi Ruby a 64 bit.

    CVE-ID

    CVE-2011-0188: Apple

  • Samba

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: se è attivata la condivisione di file SMB, un malintenzionato collegato in remoto potrebbe causare l'interruzione del servizio o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer di stack nella gestione degli ID di protezione Windows da parte di Samba. Se la condivisione di file SMB era attiva, un malintenzionato collegato in remoto poteva causare l'interruzione del servizio o l'esecuzione di codice arbitrario.

    CVE-ID

    CVE-2010-3069

  • Subversion

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: i server Subversion che utilizzano la configurazione mod_dav_svn "SVNPathAuthz short_circuit" non default potrebbero consentire a utenti non autorizzati di accedere a parti del repository.

    Descrizione: i server Subversion che utilizzano la configurazione mod_dav_svn "SVNPathAuthz short_circuit" non default potrebbero consentire a utenti non autorizzati di accedere a parti del repository. Questo problema viene risolto aggiornando Subversion alla versione 1.6.13 e non interessa i sistemi meno recenti di Mac OS X 10.6.

    CVE-ID

    CVE-2010-3315

  • Terminale

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: quando viene usato SSH nella finestra di dialogo "Nuova connessione remota" di Terminale, la versione 1 di SSH è selezionata come versione del protocollo di default.

    Descrizione: quando viene usato SSH nella finestra di dialogo "Nuova connessione remota" di Terminale, la versione 1 di SSH è selezionata come versione del protocollo di default. Questo problema viene risolto modificando la versione del protocollo di default in "Automatico". Il problema non interessa i sistemi meno recenti di Mac OS X 10.6.

    CVE-ID

    CVE-2011-0189: Matt Warren di HNW Inc.

  • X11

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.6, Mac OS X Server dalla versione 10.6 alla versione 10.6.6

    Impatto: diversi problemi di vulnerabilità in FreeType.

    Descrizione: si verificavano diversi problemi di vulnerabilità in FreeType, il più grave dei quali poteva causare l'esecuzione di codice arbitrario durante l'elaborazione di un font pericoloso. Questi problemi sono stati risolti effettuando l'aggiornamento alla versione 2.4.4 di FreeType. Ulteriori informazioni sono disponibili sul sito web di FreeType alla pagina http://www.freetype.org/.

    CVE-ID

    CVE-2010-3814

    CVE-2010-3855

 

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: