Lingua

Informazioni sul contenuto di sicurezza di OS X Lion v10.7.2 e sull'aggiornamento di sicurezza 2011-006

Questo documento descrive il contenuto di sicurezza di OS X Lion v10.7.2 e dell'aggiornamento di sicurezza 2011-006

Questo documento descrive il contenuto di sicurezza di OS X Lion v10.7.2 e dell'aggiornamento di sicurezza 2011-006, che può essere installato tramite le preferenze di Aggiornamento Software o dalla pagina Download di Apple.

Per proteggere i propri clienti, Apple non divulga né contesta o conferma informazioni su alcun problema relativo alla sicurezza, finché non è stata eseguita un'indagine approfondita e non sono stati resi disponibili i necessari aggiornamenti e correzioni della versione. Per ulteriori informazioni consulta il sito Web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Ove possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni aggiuntive sugli aggiornamenti di sicurezza, consulta l'articolo "Aggiornamenti di sicurezza Apple".
 

OS X Lion v10.7.2 e aggiornamento di sicurezza 2011-006

  • Apache

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: diversi problemi di vulnerabilità in Apache.

    Descrizione: l'aggiornamento di Apache alla versione 2.2.20 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali potrebbe portare all'interruzione del servizio. CVE-2011-0419 non riguarda i sistemi OS X Lion. Per ulteriori informazioni, consulta il sito Web di Apache all'indirizzo http://httpd.apache.org/.

    ID CVE

    CVE-2011-0419

    CVE-2011-3192

  • Applicazione Firewall

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: l'esecuzione di un binario con nome pericoloso può comportare l'esecuzione di codice arbitrario con privilegi elevati.

    Descrizione: si è verificato un problema di vulnerabilità a livello di stringa del formato nella registrazione del debug del Firewall.

    ID CVE

    CVE-2011-0185: segnalazione anonima

  • ATS

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: la visualizzazione o il download di un documento contenente un font pericoloso incorporato può comportare l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di signedness nella gestione dei font di Tipo 1 in ATS. Questo problema non riguarda i sistemi precedenti a OS X Lion.

    ID CVE

    CVE-2011-3437

  • ATS

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: la visualizzazione o il download di un documento contenente un font pericoloso incorporato può comportare l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di accesso alla memoria fuori intervallo nella gestione dei font di Tipo 1 in ATS. Il problema non riguarda i sistemi OS X Lion.

    ID CVE

    CVE-2011-0229: Will Dormann di CERT/CC

  • ATS

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: per le applicazioni che usano l'API ATSFontDeactivate può verificarsi la chiusura improvvisa o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nell'API ATSFontDeactivate.

    ID CVE

    CVE-2011-0230: Steven Michaud di Mozilla

  • BIND

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: diverse vulnerabilità in BIND 9.7.3.

    Descrizione: erano presenti diversi problemi di interruzione del servizio in BIND 9.7.3. I problemi sono stati risolti aggiornando BIND alla versione 9.7.3-P3.

    ID CVE

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: diverse vulnerabilità in BIND.

    Descrizione: erano presenti diversi problemi di interruzione del servizio in BIND. I problemi sono stati risolti aggiornando BIND alla versione 9.6-ESV-R4-P3.

    ID CVE

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Certificate Trust Policy

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1.

    Impatto: i certificati principali sono stati aggiornati.

    Descrizione: sono stati aggiunti diversi certificati attendibili alla lista di root di sistema. Sono stati aggiornati diversi certificati esistenti alla versione più recente. L'elenco completo dei root di sistema riconosciuti può essere visualizzato tramite l'applicazione Accesso Portachiavi.

  • CFNetwork

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: Safari può archiviare i cookie che non sono configurati per essere accettati.

    Descrizione: si è verificato un problema di sincronizzazione nella gestione delle politiche relative ai cookie di CFNetwork. Le preferenze relative ai cookie di Safari potrebbero non essere rispettate e i siti Web potrebbero configurare cookie che altrimenti verrebbero bloccati. Questo aggiornamento risolve il problema migliorando la gestione dell'archiviazione dei cookie.

    ID CVE

    CVE-2011-0231: Martin Tessarek, Steve Riggins di Geeks R Us, Justin C. Walker e Stephen Creswell

  • CFNetwork

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: visitare un sito Web pericoloso può comportare la divulgazione di dati sensibili.

    Descrizione: si è verificato un problema nella gestione dei cookie HTTP da parte di CFNetwork. Durante l'accesso a un HTTP o URL HTTP pericoloso, CFNetwork potrebbe inviare per errore i cookie di un dominio a un server esterno. Questo problema non riguarda i sistemi precedenti a OS X Lion.

    ID CVE

    CVE-2011-3246: Erling Ellingsen di Facebook

  • CoreFoundation

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: l'accesso a un sito Web o a un messaggio e-mail pericoloso può comportare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di corruzione della memoria nella gestione dei token per le stringhe da parte di CoreFoundation. Il problema non interessa i sistemi OS X Lion. Questo aggiornamento risolve il problema migliorando il controllo dei limiti.

    ID CVE

    CVE-2011-0259: Apple

  • CoreMedia

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: l'accesso a un sito Web pericoloso potrebbe comportare la divulgazione dei dati video da un altro sito.

    Descrizione: si è verificato un problema di origini diverse nella gestione dei reindirizzamenti cross-site da parte di CoreMedia. Questo problema viene risolto migliorando il tracking delle origini.

    ID CVE

    CVE-2011-0187: Nirankush Panchbhai e Microsoft Vulnerability Research (MSVR)

  • CoreMedia

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: la visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: erano presenti diversi problemi di corruzione della memoria nella gestione dei file video di QuickTime. Questi problemi non riguardano i sistemi OS X Lion.

    ID CVE

    CVE-2011-0224: Apple

  • CoreProcesses

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: una persona con accesso fisico a un sistema può superare in parte il blocco dello schermo.

    Descrizione: una finestra del sistema, ad esempio quella di richiesta della password VPN visualizzata con lo schermo bloccato, potrebbe accettare tasti premuti quando lo schermo era bloccato. Questo problema viene risolto impedendo alle finestre del sistema di richiedere la digitazione di tasti con lo schermo bloccato. Questo problema non riguarda i sistemi precedenti a OS X Lion.

    ID CVE

    CVE-2011-0260: Clint Tseng dell'università di Washington, Michael Kobb e Adam Kemp

  • CoreStorage

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: la conversione a FileVault non elimina tutti i dati esistenti.

    Descrizione: dopo aver attivato FileVault, circa 250 MB all'inizio del volume non venivano crittografati sul disco in un'area inutilizzata. Solo i dati presenti nel volume prima dell'attivazione di FileVault non venivano crittografati. Questo problema viene risolto eliminando quest'area durante l'attivazione di FileVault e al primo utilizzo di un volume crittografato per il quale si verifica questo problema. Questo problema non riguarda i sistemi anteriori a OS X Lion.

    ID CVE

    CVE-2011-3212: Judson Powers di ATC-NY

  • File System

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: un malintenzionato che dispone di una posizione privilegiata in rete può manipolare i certificati HTTPS portando alla divulgazione di informazioni sensibili.

    Descrizione: si è verificato un problema nella gestione dei volumi WebDAV su server HTTPS. Se il server presentava una catena per il certificato che non poteva essere verificata automaticamente, veniva visualizzato un avviso e la connessione veniva interrotta. Se l'utente faceva clic sul pulsante "Continua" nella finestra dell'avviso, tutti i certificati venivano accettati alla successiva connessione al server. Un malintenzionato con una posizione privilegiata in rete poteva manipolare la connessione per ottenere informazioni sensibili o agire per conto dell'utente sul server. Questo aggiornamento risolve il problema verificando che il certificato ricevuto alla seconda connessione corrisponda a quello presentato originariamente all'utente.

    ID CVE

    CVE-2011-3213: Apple

  • IOGraphics

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: una persona con accesso fisico potrebbe essere in grado di superare il blocco dello schermo.

    Descrizione: si è verificato un problema con il blocco dello schermo durante l'utilizzo con monitor Apple Cinema Display. Quando viene richiesta la password per riattivare il sistema dalla modalità di stop, una persona con accesso fisico può essere in grado di accedere al sistema senza immettere la password. Questo aggiornamento risolve il problema verificando che la schermata di blocco venga attivata correttamente nella modalità di stop. Il problema non riguarda i sistemi OS X Lion.

    ID CVE

    CVE-2011-3214: Apple

  • Server iChat

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: un malintenzionato in remoto può fare in modo che il server Jabber consumi le risorse del sistema in misura sproporzionata.

    Descrizione: si è verificato un problema nella gestione delle entità esterne XML in jabberd2, un server per il protocollo XMPP (Extensible Messaging and Presence Protocol). jabber2 espande le entità esterne per le richieste in entrata. In questo modo, un malintenzionato può consumare le risorse di sistema in modo molto rapido, impedendo al servizio di autenticare gli utenti del server. Questo aggiornamento risolve il problema disattivando l'espansione delle entità per le richieste in entrata.

    ID CVE

    CVE-2011-1755

  • Kernel

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: una persona con accesso fisico può essere in grado di accedere alla password dell'utente.

    Descrizione: un errore logico nella protezione DMA del kernel consentiva il DMA del firewire alla finestra di accesso, all'avvio e alla chiusura, ma non con lo schermo bloccato. Questo aggiornamento risolve il problema impedendo il DMA del firewire in tutti i casi in cui l'utente non ha effettuato l'accesso.

    ID CVE

    CVE-2011-3215: Passware, Inc.

  • Kernel

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: un utente senza privilegi potrebbe essere in grado di eliminare i file di un altro utente in una directory condivisa.

    Descrizione: si è verificato un errore logico nella gestione dell'eliminazione dei file da parte del kernel in directory con sticky bit.

    ID CVE

    CVE-2011-3216: Gordon Davisson di Crywolf, Linc Davis, R. Dormer, Allan Schmid e Oliver Jeckel di brainworks Training

  • libsecurity

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: l'accesso a un sito Web o a un messaggio e-mail pericoloso può comportare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un errore di gestione durante l'analisi di un'estensione non standard per l'elenco dei certificati revocati.

    ID CVE

    CVE-2011-3227: Richard Godbee di Virginia Tech

  • Mailman

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: diverse vulnerabilità in Mailman 2.1.14.

    Descrizione: erano presenti diversi problemi di scripting cross-site in Mailman 2.1.14. Questi problemi sono stati risolti migliorando la codificazione dei caratteri nell'output HTML. Ulteriori informazioni sono disponibili sul sito Mailman alla pagina http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html. Questo problema non interessa i sistemi OS X Lion.

    ID CVE

    CVE-2011-0707

  • MediaKit

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: l'apertura di un'immagine disco pericolosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: erano presenti diversi problemi di corruzione della memoria durante la gestione delle immagini disco. Questi problemi non riguardano i sistemi OS X Lion.

    ID CVE

    CVE-2011-3217: Apple

  • Open Directory

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: tutti gli utenti possono leggere la password di un altro utente locale.

    Descrizione: si è verificato un problema di controllo dell'accesso a Open Directory. Questo problema non riguarda i sistemi precedenti a OS X Lion.

    ID CVE

    CVE-2011-3435: Arek Dreyer di Dreyer Network Consultants, Inc e Patrick Dunstan di defenseindepth.net

  • Open Directory

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: un utente autenticato può modificare la password dell'account senza dover immettere la password attuale.

    Descrizione: si è verificato un problema di controllo dell'accesso a Open Directory. Questo problema non riguarda i sistemi precedenti a OS X Lion.

    ID CVE

    CVE-2011-3436: Patrick Dunstan di defenceindepth.net

  • Open Directory

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: un utente potrebbe essere in grado di accedere senza dover immettere la password.

    Descrizione: quando Open Directory è associato a un server LDAPv3 che utilizza RFC2307 o una mappatura personalizzata in base alla quale non esiste un attributo AuthenticationAuthority per l'utente, un utente LDAP potrebbe accedere senza dover immettere la password. Questo problema non riguarda i sistemi precedenti a OS X Lion.

    ID CVE

    CVE-2011-3226: Jeffry Strunk dell'University of Texas at Austin, Steven Eppler della Colorado Mesa University, Hugh Cole-Baker e Frederic Metoz dell'Institut de Biologie Structurale

  • PHP

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: la visualizzazione di un documento PDF pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di signedness nella gestione dei font di tipo 1 da parte di FreeType. Il problema viene risolto aggiornando FreeType alla versione 2.4.6. Non riguarda i sistemi precedenti a OS X Lion. Ulteriori informazioni sono disponibili sul sito Web di FreeType all'indirizzo /http://www.freetype.org/.

    ID CVE

    CVE-2011-0226

  • PHP

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: diversi problemi di vulnerabilità in libpng 1.4.3.

    Descrizione: l'aggiornamento di libpng alla versione 1.5.4 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali può comportare l'esecuzione di codice arbitrario. Per ulteriori informazioni, consulta il sito Web di libpng all'indirizzo http://www.libpng.org/pub/png/libpng.html.

    ID CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: sono presenti diverse vulnerabilità in PHP 5.3.4.

    Descrizione: l'aggiornamento di PHP alla versione 5.3.6 consente di risolvere diverse vulnerabilità, la più grave delle quali può comportare l'esecuzione di codice arbitrario. Questi problemi non riguardano i sistemi OS X Lion. Per ulteriori informazioni, visita il sito Web di PHP all'indirizzo http://www.php.net/.

    ID CVE

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: diversi problemi di vulnerabilità in Postfix.

    Descrizione: Postfix è aggiornato alla versione 2.5.14 per risolvere i diversi problemi di vulnerabilità, il più serio dei quali potrebbe consentire a un malintenzionato con una posizione privilegiata sulla rete di manipolare la sessione di posta per ottenere informazioni sensibili dal traffico criptato. Questi problemi non riguardano i sistemi OS X Lion. Ulteriori informazioni sono disponibili su sito di Postfix alla pagina http://www.postfix.org/announcements/postfix-2.7.3.html.

    ID CVE

    CVE-2011-0411

    CVE-2011-1720

  • Python

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: diversi problemi di vulnerabilità in python.

    Descrizione: si sono verificati diversi problemi di vulnerabilità in python, il più grave dei quali può comportare l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema fornendo le patch per il progetto python. Ulteriori informazioni sono disponibili sul sito Web python all'indirizzo http://www.python.org/download/releases/.

    ID CVE

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: la visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: erano presenti diversi problemi di corruzione della memoria nella gestione dei file video di QuickTime.

    ID CVE

    CVE-2011-3228: Apple

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: la visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer di heap nella gestione degli atom STSC nei filmati di QuickTime. Il problema non riguarda i sistemi OS X Lion.

    ID CVE

    CVE-2011-0249: Matt 'j00ru' Jurczyk, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: la visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer di heap nella gestione degli atom STSS nei filmati di QuickTime. Il problema non riguarda i sistemi OS X Lion.

    ID CVE

    CVE-2011-0250: Matt 'j00ru' Jurczyk, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: la visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer di heap nella gestione degli atom STSZ nei filmati di QuickTime. Il problema non riguarda i sistemi OS X Lion.

    ID CVE

    CVE-2011-0251: Matt 'j00ru' Jurczyk, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: la visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer di heap nella gestione degli atom STTS nei filmati di QuickTime. Il problema non riguarda i sistemi OS X Lion.

    ID CVE

    CVE-2011-0252: Matt 'j00ru' Jurczyk, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: un malintenzionato, che dispone di una posizione privilegiata in rete, potrebbe inserire script nel dominio locale durante la visualizzazione del modello HTML.

    Descrizione: si è verificato un problema di scripting cross-site nell'export "Registra per il Web" di QuickTime Player. I documenti con i modelli HTML generati da questa funzione facevano riferimento a un file di script proveniente da un'origine non crittografata. Un malintenzionato che dispone di una posizione privilegiata in rete, potrebbe inserire script pericolosi nel dominio locale durante la visualizzazione in locale di un file di modello. Il problema viene risolto rimuovendo il riferimento allo script in linea. Il problema non riguarda i sistemi OS X Lion.

    ID CVE

    CVE-2011-3218: Aaron Sigel di vtty.com

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: la visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer nella gestione da parte di QuickTime dei filmati H.264 codificati.

    ID CVE

    CVE-2011-3219: Damian Put, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: l'apertura di un filmato pericoloso può comportare la divulgazione di contenuti presenti in memoria

    Descrizione: si è verificato un problema di accesso alla memoria non inizializzata durante la gestione degli handler dati URL nei filmati.

    ID CVE

    CVE-2011-3220: Luigi Auriemma, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: la visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di implementazione nella gestione della gerarchia di atom nei filmati di QuickTime.

    ID CVE

    CVE-2011-3221: un ricercatore anonimo, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: la visualizzazione di un documento FlashPix pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer nella gestione dei file FlashPix da parte di QuickTime.

    ID CVE

    CVE-2011-3222: Damian Put, collaboratore della Zero Day Initiative di TippingPoint

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: la visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer nella gestione dei file FLIC da parte di QuickTime.

    ID CVE

    CVE-2011-3223: Matt 'j00ru' Jurczyk, collaboratore della Zero Day Initiative di TippingPoint

  • File server SMB

    Disponibile per: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: un ospite potrebbe sfogliare le cartelle condivise.

    Descrizione: si è verificato un problema di controllo dell'accesso nel File server SMB. La disattivazione dell'accesso degli ospiti al record del punto di condivisione per una cartella impediva all'utente "_sconosciuto" di sfogliare il punto di condivisione, ma non agli ospiti (utente "nessuno"). Questo problema viene risolto applicando il controllo dell'accesso all'utente ospite. Questo problema non riguarda i sistemi precedenti a OS X Lion.

    ID CVE

    CVE-2011-3225

  • Tomcat

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: sono presenti diverse vulnerabilità in Tomcat 6.0.24.

    Descrizione: l'aggiornamento di Tomcat alla versione 6.0.32 risolve diverse vulnerabilità, la più grave delle quali può comportare un attacco scripting cross-site. Tomcat è fornito solo sui sistemi Mac OS X Server. Il problema non riguarda i sistemi OS X Lion. Per ulteriori informazioni, visita il sito Tomcat all'indirizzo http://tomcat.apache.org/.

    ID CVE

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Documentazione per l’utente

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: un malintenzionato, che dispone di una posizione privilegiata in rete, può manipolare i contenuti di assistenza di App Store, provocando l'esecuzione di codice arbitrario.

    Descrizione: i contenuti di assistenza di App Store sono stati aggiornati su HTTP. Questo aggiornamento risolve il problema aggiornando i contenuti di assistenza di App Store su HTTPS. Il problema non riguarda i sistemi OS X Lion.

    ID CVE

    CVE-2011-3224: Aaron Sigel di vtty.com e Brian Mastenbrook

  • Server Web

    Disponibile per: Mac OS X Server v10.6.8

    Impatto: i clienti potrebbero non essere in grado di accedere ai servizi Web per i quali è necessaria l'autenticazione digest.

    Descrizione: è stato risolto un problema con la gestione dell'autenticazione digest HTTP. Gli utenti potrebbero non essere in grado di accedere alle risorse del server anche se la configurazione del server stesso dovrebbe consentirlo. Questo problema non rappresenta un rischio per la sicurezza ed è stato risolto per facilitare l'utilizzo di meccanismi di autenticazione più rigorosi. Questo problema non riguarda i sistemi che eseguono OS X Lion Server.

  • X11

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impatto: diversi problemi di vulnerabilità in libpng.

    Descrizione: erano presenti diversi problemi di vulnerabilità in libpng, il più grave dei quali può comportare l'esecuzione di codice arbitrario. Questi problemi vengono risolti aggiornando libpng alla versione 1.5.4 su sistemi con OS Lion e alla versione 1.2.46 su sistemi con Mac OS X v10.6. Per ulteriori informazioni, consulta il sito Web di libpng all'indirizzo http://www.libpng.org/pub/png/libpng.html.

    ID CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

Importante: Le citazioni di siti Web e prodotti di terze parti sono soltanto a scopo informativo e non costituiscono né una approvazione, né una raccomandazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all’utilizzo di informazioni o prodotti reperibili presso i siti Web di terze parti. Apple fornisce queste informazioni solo per comodità dei propri utenti. Apple non ha verificato le informazioni reperibili su questi siti e non esprime alcuna opinione in merito alla loro precisione o affidabilità. Esistono rischi inerenti l’utilizzo di informazioni o prodotti reperibili in Internet e Apple non si assume alcuna responsabilità al riguardo. Qualsiasi sito di terze parti è indipendente da Apple e Apple non esercita alcun controllo sul contenuto di tali siti Web. Per ulteriori informazioni, si prega di contattare il produttore.

Ultima modifica: 5-giu-2012
Utile?
No
  • Last Modified: 5-giu-2012
  • Article: HT5002
  • Views:

    807
  • Rating:
    • 100.0

    (1 risposte)

Informazioni aggiuntive di supporto al prodotto