Puoi scaricare e installare questo aggiornamento tramite le preferenze Aggiornamento Software oppure dalla pagina dei download di Apple.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo "Aggiornamenti di sicurezza Apple".
Mac OS X 10.6.8 e aggiornamento di sicurezza 2011-004
AirPort
Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Impatto: durante la connessione alla rete Wi-Fi un malintenzionato connesso alla stessa rete può causare la reimpostazione del sistema.
Descrizione: si verifica un problema di lettura della memoria fuori dai limiti nella gestione di frame Wi-Fi. Durante la connessione alla rete Wi-Fi un malintenzionato connesso alla stessa rete può causare la reimpostazione del sistema. Il problema non interessa Mac OS X 10.6.
ID CVE
CVE-2011-0196
App Store
Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: la password dell'ID Apple dell'utente potrebbe essere registrata su un file locale.
Descrizione: in determinate circostanze App Store può registrare la password dell'ID Apple dell'utente su un file che non è leggibile dagli altri utenti del sistema. Questo problema viene risolto tramite una migliore gestione delle credenziali.
ID CVE
CVE-2011-0197: Paul Nelson
ATS
Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: la visualizzazione o il download di un documento contenente un font pericoloso incorporato potrebbe comportare l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow nel buffer di heap nella gestione dei font di TrueType. La visualizzazione o il download di un documento contenente un font pericoloso incorporato può causare l'esecuzione di codice arbitrario.
ID CVE
CVE-2011-0198: Harry Sintonen, Marc Schoenefeld di Red Hat Security Response Team
Certificate Trust Policy
Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: un malintenzionato con una posizione privilegiata sulla rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.
Descrizione: si verifica un errore di gestione in Certificate Trust Policy. Se un certificato di convalida estesa (EV, Extended Validation) non dispone di URL OCSP e la verifica dei certificati revocati (CRL) è abilitata, quest'ultima non verrà eseguita e un certificato revocato potrebbe essere accettato come valido. Il problema è attenuato dal fatto che la gran parte dei certificati EV specifica un URL OCSP.
ID CVE
CVE-2011-0199: Chris Hawk e Wan-Teh Chang di Google
ColorSync
Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Impatto: la visualizzazione di un'immagine pericolosa con un profilo ColorSync incorporato può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow di numeri interi nella gestione di immagini con un profilo ColorSync incorporato, che può causare un overflow del buffer di heap. L'apertura di un'immagine pericolosa con un profilo ColorSync incorporato può causare una chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.
ID CVE
CVE-2011-0200: binaryproof, collaboratore della Zero Day Initiative di TippingPoint
CoreFoundation
Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: le applicazioni che usano il framework CoreFoundation possono essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.
Descrizione: si verifica un problema di overflow del buffer di off-by-one nella gestione di CFStrings. Le applicazioni che usano il framework CoreFoundation possono essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.
ID CVE
CVE-2011-0201: Harry Sintonen
CoreGraphics
Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: l'apertura di un documento PDF pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di overflow di numeri interi nella gestione di font Type 1. La visualizzazione o il download di un documento contenente un font pericoloso incorporato può causare l'esecuzione di codice arbitrario.
ID CVE
CVE-2011-0202: Cristian Draghici di Modulo Consulting, Felix Grobert di Google Security Team
Server FTP
Disponibile per: Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: un individuo con accesso all'FTP può includere file nel sistema.
Descrizione: si verifica un problema di convalida dei percorsi in xftpd. Un individuo con accesso all'FTP può eseguire un elenco di cartelle ricorsivo a partire da quella principale, includendo le cartelle non condivise sull'FTP. L'elenco includerà quindi qualsiasi file che può essere accessibile all'utente dell'FTP. I contenuti dei file non saranno divulgati. Questo problema viene risolto attraverso una migliore convalida dei percorsi. Il problema interessa solo i sistemi Mac OS X Server.
ID CVE
CVE-2011-0203: team karlkani
ImageIO
Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: la visualizzazione di un'immagine TIFF pericolosa potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer di heap nella gestione delle immagini TIFF da parte di ImageIO. La visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
CVE-ID
CVE-2011-0204: Dominic Chell di NGS Secure
ImageIO
Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un overflow del buffer di heap nella gestione delle immagini JPEG2000 da parte di ImageIO. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
ID CVE
CVE-2011-0205: Harry Sintonen
ICU (International Components for Unicode)
Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: le applicazioni che usano ICU potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.
Descrizione: si verifica un problema di overflow del buffer nella gestione delle stringhe in maiuscolo da parte di ICU. Le applicazioni che usano ICU possono essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.
ID CVE
CVE-2011-0206: David Bienvenu di Mozilla
Kernel
Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: un utente locale potrebbe causare il ripristino del sistema.
Descrizione: si verificava una dereferenziazione null nella gestione delle opzioni del socket IPV6. Un utente locale può causare la reimpostazione del sistema.
CVE-ID
CVE-2011-1132: Thomas Clement di Intego
Libsystem
Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: le applicazioni che usano l'API glob(3) possono essere soggette a interruzione del servizio.
Descrizione: le applicazioni che usano l'API glob(3) possono essere soggette a interruzione del servizio. Se la sequenza glob deriva da un input non affidabile, l'applicazione può bloccarsi o usare risorse eccessive della CPU. Questo problema viene risolto attraverso una migliore convalida delle sequenze glob.
ID CVE
CVE-2010-2632: Maksymilian Arciemowicz
libxslt
Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: l'accesso a un sito web pericoloso potrebbe causare la divulgazione di indirizzi sull'heap.
Descrizione: l'implementazione di libxslt della funzione generate-id() XPath divulgava l'indirizzo di un buffer di heap. L'accesso a un sito web pericoloso può causare la divulgazione di indirizzi su heap. Questo problema è stato risolto generando un ID basato sulla differenza tra gli indirizzi di due buffer di heap.
CVE-ID
CVE-2011-0195: Chris Evans di Google Chrome Security Team
MobileMe
Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: un malintenzionato con una posizione privilegiata in rete può leggere gli alias email di MobileMe di un utente.
Descrizione: durante la comunicazione con MobileMe per determinare gli alias email di un utente, Mail inoltrerà richieste su HTTP. Di conseguenza, un malintenzionato con una posizione privilegiata in rete può leggere gli alias email di MobileMe di un utente. Questo problema viene risolto utilizzando SSL per accedere agli alias email dell'utente.
CVE-ID
CVE-2011-0207: Aaron Sigel di vtty.com
MySQL
Disponibile per: Mac OS X Server 10.5.8, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: si verificano diversi problemi di vulnerabilità in MySQL 5.0.91.
Descrizione: l'aggiornamento di MySQL alla versione 5.0.92 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali può causare l'esecuzione di codice arbitrario. MySQL viene fornito solo con sistemi Mac OS X Server.
ID CVE
CVE-2010-3677
CVE-2010-3682
CVE-2010-3833
CVE-2010-3834
CVE-2010-3835
CVE-2010-3836
CVE-2010-3837
CVE-2010-3838
OpenSSL
Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: si verificano diverse vulnerabilità in OpenSSL.
Descrizione: si verificano diversi problemi di vulnerabilità in OpenSSL, il più grave dei quali può causare l'esecuzione di codice arbitrario. Questi problemi vengono risolti aggiornando OpenSSL alla versione 0.9.8r.
ID CVE
CVE-2009-3245
CVE-2010-0740
CVE-2010-3864
CVE-2010-4180
CVE-2011-0014
patch
Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: l'esecuzione di una patch su un file di patch pericoloso può causare la creazione o la sovrascrittura di file arbitrari.
Descrizione: si verifica un problema trasversale di directory nella patch GNU. L'esecuzione di una patch su un file di patch pericoloso può causare la creazione o la sovrascrittura di file arbitrari. Questo problema viene risolto mediante una migliore convalida dei file delle patch.
ID CVE
CVE-2010-4651
QuickLook
Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: il download di un file Microsoft Office pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file Microsoft Office in QuickLook. Il download di un file Microsoft Office pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema non interessa i sistemi meno recenti di Mac OS X 10.6.
CVE-ID
CVE-2011-0208: Tobias Klein, collaboratore di iDefense VCP
QuickTime
Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: la visualizzazione di un file WAV pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow di numeri interi nella gestione di file RIFF WAV da parte di QuickTime. La visualizzazione di un file WAV pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
ID CVE
CVE-2011-0209: Luigi Auriemma, collaboratore della Zero Day Initiative di TippingPoint
QuickTime
Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: la visualizzazione di un file video pericoloso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di corruzione della memoria nella gestione delle tabelle di esempio dei filmati di QuickTime da parte di QuickTime stesso. La visualizzazione di un filmato pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
ID CVE
CVE-2011-0210: Honggang Ren di Fortinet's FortiGuard Labs
QuickTime
Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: la visualizzazione di un file video pericoloso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow di numeri interi nella gestione dei file video da parte di QuickTime. La visualizzazione di un filmato pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
ID CVE
CVE-2011-0211: Luigi Auriemma, collaboratore della Zero Day Initiative di TippingPoint
QuickTime
Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: la visualizzazione di un'immagine PICT pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer nella gestione delle immagini PICT da parte di QuickTime. L'apertura di un'immagine PICT pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
ID CVE
CVE-2010-3790: Subreption LLC, collaboratore della Zero Day Initiative di TippingPoint
QuickTime
Disponibile per: Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: la visualizzazione di un file JPEG pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer nella gestione dei file JPEG da parte di QuickTime. La visualizzazione di un file JPEG pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
ID CVE
CVE-2011-0213: Luigi Auriemma, collaboratore di iDefense
Samba
Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Impatto: se la condivisione di file SMB è abilitata, un malintenzionato collegato in remoto può causare l'interruzione del servizio o l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer di stack nella gestione degli ID di protezione Windows da parte di Samba. Se la condivisione di file SMB è abilitata, un malintenzionato collegato in remoto può causare l'interruzione del servizio o l'esecuzione di codice arbitrario. Per i sistemi Mac OS X 10.6, questo problema viene risolto in Mac OS X 10.6.7.
ID CVE
CVE-2010-3069
Samba
Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: se la condivisione di file SMB è abilitata, un malintenzionato collegato in remoto può causare l'interruzione del servizio o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di corruzione della memoria nella gestione dei descrittori di file da parte di Samba. Se la condivisione di file SMB è abilitata, un malintenzionato collegato in remoto può causare l'interruzione del servizio o l'esecuzione di codice arbitrario.
ID CVE
CVE-2011-0719: Volker Lendecke di SerNet
servermgrd
Disponibile per: Mac OS X Server 10.5.8, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: un malintenzionato collegato in remoto può leggere i file arbitrari nel sistema.
Descrizione: si verifica un problema relativo agli attacchi XML External Entity nella gestione delle richieste XML-RPC da parte di servermgrd. Questo problema viene risolto rimuovendo l'interfaccia XML-RPC di servermgrd. Il problema interessa solo i sistemi Mac OS X Server.
ID CVE
CVE-2011-0212: Apple
subversion
Disponibile per: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X dalla versione 10.6 alla versione 10.6.7, Mac OS X Server dalla versione 10.6 alla versione 10.6.7
Impatto: se viene configurato un server Subversion basato su http, un malintenzionato collegato in remoto può causare l'interruzione del servizio.
Descrizione: si verifica una dereferenziazione nella gestione dei token bloccati inviati tramite HTTP da parte di Subversion. Se viene configurato un server Subversion basato su http, un malintenzionato collegato in remoto può causare l'interruzione del servizio. Per i sistemi Mac OS X 10.6, Subversion è aggiornato alla versione 1.6.6. Per i sistemi Mac OS X 10.5.8, questo problema viene risolto tramite una convalida supplementare dei token bloccati. Ulteriori informazioni sono disponibili sul sito web di Subversion all'indirizzo http://subversion.apache.org.
ID CVE
CVE-2011-0715