Lingua

Informazioni sul contenuto di Mac OS X 10.6.8 e sull'aggiornamento di sicurezza 2011-004

Questo documento descrive il contenuto di sicurezza di Mac OS X 10.6.8 e l'aggiornamento di sicurezza 2011-004.

Puoi scaricare e installare questo aggiornamento tramite le preferenze di Aggiornamento Software oppure dalla pagina dei download di Apple.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple".

Mac OS X 10.6.8 e aggiornamento di sicurezza 2011-004

  • AirPort

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Impatto: durante la connessione alla rete Wi-Fi, un malintenzionato connesso alla stessa rete potrebbe causare il ripristino del sistema.

    Descrizione: si è verificato un problema di lettura della memoria fuori dai limiti nella gestione di frame Wi-Fi. Durante la connessione alla rete Wi-Fi, un malintenzionato connesso alla stessa rete potrebbe causare il ripristino del sistema. Il problema non interessa Mac OS X 10.6.

    ID CVE

    CVE-2011-0196

  • App Store

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: la password dell'ID Apple dell'utente potrebbe permettere l'accesso a un file locale.

    Descrizione: in determinate circostanze, App Store potrebbe causare l'accesso tramite la password dell'ID Apple dell'utente a un file che non è leggibile per gli altri utenti del sistema. Questo problema viene risolto tramite una migliore gestione delle credenziali.

    ID CVE

    CVE-2011-0197: Paul Nelson

  • ATS

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: la visualizzazione o il download di un documento contenente un font pericoloso incorporato potrebbe comportare l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow nel buffer di heap nella gestione dei font di TrueType. La visualizzazione o il download di un documento contenente un font pericoloso incorporato può comportare l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0198: Harry Sintonen, Marc Schoenefeld di Red Hat Security Response Team

  • Certificate Trust Policy

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: un malintenzionato con una posizione privilegiata sul network potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.

    Descrizione: si è verificato un errore di gestione in Certificate Trust Policy. Se un certificato di convalida estesa (EV, Extended Validation) non dispone di URL OCSP e la verifica dei certificati revocati (CRL) è abilitata, quest'ultima non verrà eseguita e un certificato revocato potrebbe essere accettato come valido. Il problema è attenuato dal fatto che la gran parte dei certificati EV specificano un URL OCSP.

    ID CVE

    CVE-2011-0199: Chris Hawk e Wan-Teh Chang di Google

  • ColorSync

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Impatto: la visualizzazione di un'immagine pericolosa con un profilo ColorSync incorporato può comportare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow di numeri interi nella gestione di immagini con un profilo ColorSync incorporato, che potrebbe causare un overflow del buffer di heap. L'apertura di un'immagine pericolosa con un profilo ColorSync incorporato può comportare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0200: binaryproof, collaboratore della Zero Day Initiative di TippingPoint

  • CoreFoundation

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: le applicazioni che usano il framework CoreFoundation potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di overflow del buffer di off-by-one nella gestione di CFStrings. Le applicazioni che usano il framework CoreFoundation potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0201: Harry Sintonen

  • CoreGraphics

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: l'apertura di un documento PDF pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di overflow di numeri interi nella gestione di font Type 1. La visualizzazione o il download di un documento contenente un font pericoloso incorporato può comportare l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0202: Cristian Draghici di Modulo Consulting, Felix Grobert di Google Security Team

  • Server FTP

    Disponibile per: Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: un individuo con accesso all'FTP potrebbe includere file nel sistema.

    Descrizione: si è verificato un problema di convalida dei percorsi in xftpd. Un individuo con accesso all'FTP potrebbe eseguire un elenco di cartelle ricorsivo a partire da quella principale, includendo le cartelle non condivise sull'FTP. L'elenco includerà infine qualsiasi file che potrebbe essere accessibile all'utente dell'FTP. I contenuti dei file non saranno divulgati. Questo problema viene risolto attraverso una migliore convalida dei percorsi. Il problema interessa solo i sistemi Mac OS X Server.

    ID CVE

    CVE-2011-0203: team karlkani

  • ImageIO

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: la visualizzazione di un'immagine TIFF pericolosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer di heap nella gestione delle immagini TIFF da parte di ImageIO. La visualizzazione di un'immagine TIFF pericolosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0204: Dominic Chell di NGS Secure

  • ImageIO

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer di heap nella gestione delle immagini JPEG2000 da parte di ImageIO. L'accesso a un sito web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0205: Harry Sintonen

  • ICU (International Components for Unicode)

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: le applicazioni che usano ICU potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di overflow del buffer nella gestione delle stringhe in maiuscolo da parte di ICU. Le applicazioni che usano ICU potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0206: David Bienvenu di Mozilla

  • Kernel

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: un utente locale potrebbe causare il ripristino del sistema.

    Descrizione: si è verificato un deferenziamento nella gestione delle opzioni socket IPV6. Un utente locale potrebbe causare il ripristino del sistema.

    ID CVE

    CVE-2011-1132: Thomas Clement di Intego

  • Libsystem

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: le applicazioni che usano l'API glob(3) potrebbero essere soggette a interruzione del servizio.

    Descrizione: le applicazioni che usano l'API glob(3) potrebbero essere soggette a interruzione del servizio. Se la sequenza glob deriva da un input non affidabile, l'applicazione potrebbe bloccarsi o utilizzare risorse eccessive della CPU. Questo problema viene risolto attraverso una migliore convalida delle sequenze glob.

    ID CVE

    CVE-2010-2632: Maksymilian Arciemowicz

  • libxslt

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: l'accesso a un sito web pericoloso potrebbe causare la divulgazione di indirizzi su heap.

    Descrizione: l'implementazione di libxslt della funzione generate-id() XPath ha divulgato l'indirizzo di un buffer di heap. L'accesso a un sito web pericoloso potrebbe causare la divulgazione di indirizzi su heap. Questo problema viene risolto generando un ID basato sulla differenza tra gli indirizzi di due buffer di heap.

    ID CVE

    CVE-2011-0195: Chris Evans di Google Chrome Security Team

  • MobileMe

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe leggere gli alias email di MobileMe di un utente.

    Descrizione: durante la comunicazione con MobileMe per determinare gli alias email di un utente, Mail inoltrerà richieste su HTTP. Di conseguenza, un malintenzionato con una posizione privilegiata in rete potrebbe leggere gli alias email di MobileMe di un utente. Questo problema viene risolto utilizzando SSL per accedere agli alias email dell'utente.

    ID CVE

    CVE-2011-0207: Aaron Sigel di vtty.com

  • MySQL

    Disponibile per: Mac OS X Server 10.5.8, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: si verificano diversi problemi di vulnerabilità in MySQL 5.0.91.

    Descrizione: l'aggiornamento di MySQL alla versione 5.0.92 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali può comportare l'esecuzione di codice arbitrario. MySQL viene fornito solo con sistemi Mac OS X Server. Per ulteriori informazioni consulta il sito web di MySQL all'indirizzo http://dev.mysql.com/doc/refman/5.0/en/news-5-0-92.html.

    ID CVE

    CVE-2010-3677

    CVE-2010-3682

    CVE-2010-3833

    CVE-2010-3834

    CVE-2010-3835

    CVE-2010-3836

    CVE-2010-3837

    CVE-2010-3838

  • OpenSSL

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: si verificano diverse vulnerabilità in OpenSSL.

    Descrizione: si sono verificati diversi problemi di vulnerabilità in OpenSSL, il più grave dei quali può comportare l'esecuzione di codice arbitrario. Questi problemi vengono risolti aggiornando OpenSSL alla versione 0.9.8r.

    ID CVE

    CVE-2009-3245

    CVE-2010-0740

    CVE-2010-3864

    CVE-2010-4180

    CVE-2011-0014

  • patch

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: eseguire una patch su un file di patch pericoloso potrebbe causare la creazione o la sovrascrittura di file arbitrari.

    Descrizione: si è verificato un problema trasversale di directory nella patch GNU. Eseguire una patch su un file di patch pericoloso potrebbe causare la creazione o la sovrascrittura di file arbitrari. Questo problema viene risolto mediante una migliore convalida dei file delle patch.

    ID CVE

    CVE-2010-4651

  • QuickLook

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: il download di un file Microsoft Office pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di corruzione della memoria nella gestione dei file Microsoft Office da parte di QuickLook. Il download di un file Microsoft Office pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema non interessa i sistemi meno recenti di Mac OS X 10.6.

    ID CVE

    CVE-2011-0208: Tobias Klein, collaboratore di iDefense VCP

  • QuickTime

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: la visualizzazione di un file WAV pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow di numeri interi nella gestione di file RIFF WAV da parte di QuickTime. La visualizzazione di un file WAV pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0209: Luigi Auriemma, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di corruzione della memoria nella gestione delle tabelle di esempio dei filmati di QuickTime da parte di QuickTime stesso. La visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0210: Honggang Ren di Fortinet's FortiGuard Labs

  • QuickTime

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow di numeri interi nella gestione dei file video da parte di QuickTime. La visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0211: Luigi Auriemma, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: la visualizzazione di un'immagine PICT pericolosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer nella gestione delle immagini PICT da parte di QuickTime. L'apertura di un'immagine PICT pericolosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2010-3790: Subreption LLC, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: la visualizzazione di un file JPEG pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer nella gestione dei file JPEG da parte di QuickTime. La visualizzazione di un file JPEG pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0213: Luigi Auriemma, collaboratore di iDefense

  • Samba

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Impatto: se è attivata la condivisione di file SMB, un malintenzionato collegato in remoto potrebbe causare l'interruzione del servizio o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer di stack nella gestione degli ID di protezione Windows da parte di Samba. Se è attivata la condivisione di file SMB, un malintenzionato collegato in remoto potrebbe causare l'interruzione del servizio o l'esecuzione di codice arbitrario. Per i sistemi Mac OS X 10.6, questo problema viene risolto in Mac OS X 10.6.7.

    ID CVE

    CVE-2010-3069

  • Samba

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: se è attivata la condivisione di file SMB, un malintenzionato collegato in remoto potrebbe causare l'interruzione del servizio o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di corruzione della memoria nella gestione dei descrittori di file da parte di Samba. Se è attivata la condivisione di file SMB, un malintenzionato collegato in remoto potrebbe causare l'interruzione del servizio o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0719: Volker Lendecke di SerNet

  • servermgrd

    Disponibile per: Mac OS X Server 10.5.8, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: un malintenzionato collegato in remoto potrebbe leggere i file arbitrari nel sistema.

    Descrizione: si verifica un problema relativo agli attacchi XML External Entity nella gestione delle richieste XML-RPC da parte di servermgrd. Questo problema viene risolto rimuovendo l'interfaccia XML-RPC di servermgrd. Il problema interessa solo i sistemi Mac OS X Server.

    ID CVE

    CVE-2011-0212: Apple

  • subversion

    Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7

    Impatto: se viene configurato un server Subversion basato su http, un malintenzionato collegato in remoto potrebbe causare l'interruzione del servizio.

    Descrizione: si è verificato un deferenziamento nella gestione dei token bloccati inviati tramite HTTP da parte di Subversion. Se viene configurato un server Subversion basato su http, un malintenzionato collegato in remoto potrebbe causare l'interruzione del servizio. Per i sistemi Mac OS X 10.6, Subversion è aggiornato alla versione 1.6.6. Per i sistemi Mac OS X 10.5.8, questo problema viene risolto tramite una convalida supplementare dei token bloccati. Per ulteriori informazioni consulta il sito web di Subversion all'indirizzo http://subversion.apache.org/.

    ID CVE

    CVE-2011-0715

Importante: Le citazioni di siti Web e prodotti di terze parti sono soltanto a scopo informativo e non costituiscono né una approvazione, né una raccomandazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all’utilizzo di informazioni o prodotti reperibili presso i siti Web di terze parti. Apple fornisce queste informazioni solo per comodità dei propri utenti. Apple non ha verificato le informazioni reperibili su questi siti e non esprime alcuna opinione in merito alla loro precisione o affidabilità. Esistono rischi inerenti l’utilizzo di informazioni o prodotti reperibili in Internet e Apple non si assume alcuna responsabilità al riguardo. Qualsiasi sito di terze parti è indipendente da Apple e Apple non esercita alcun controllo sul contenuto di tali siti Web. Per ulteriori informazioni, si prega di contattare il produttore.

Ultima modifica: 29-apr-2014
Utile?
No
  • Last Modified: 29-apr-2014
  • Article: HT4723
  • Views:

    938
  • Rating:
    • 20.0

    (1 risposte)

Informazioni aggiuntive di supporto al prodotto