Lingua

Informazioni sui contenuti relativi alla sicurezza di OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 e all'aggiornamento di sicurezza 2012-004

Leggi di seguito le informazioni sui contenuti relativi alla sicurezza di OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 e all'aggiornamento di sicurezza 2012-004.

In questo documento vengono descritti i contenuti relativi alla sicurezza di OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 e all'aggiornamento di sicurezza 2012-004.

Per proteggere i propri clienti, Apple non divulga né contesta o conferma informazioni su alcun problema relativo alla sicurezza, finché non è stata eseguita un'indagine approfondita e non sono stati resi disponibili i necessari aggiornamenti e correzioni della versione. Per ulteriori informazioni consulta il sito Web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Se possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni aggiuntive sugli aggiornamenti di sicurezza, consulta l'articolo "Aggiornamenti di sicurezza Apple".

OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 e aggiornamento di sicurezza 2012-004

Nota: OS X Mountain Lion v10.8.2 include il contenuto di Safari 6.0.1. Per ulteriori informazioni, consulta l'articolo Informazioni sul contenuto di sicurezza di Safari 6.0.1.

  • Apache

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: diversi problemi di vulnerabilità in Apache.

    Descrizione: l'aggiornamento di Apache alla versione 2.2.22 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali potrebbe portare all'interruzione del servizio. Per ulteriori informazioni, consulta il sito Web di Apache all'indirizzo http://httpd.apache.org/. Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.4, OS X Lion Server dalla versione 10.7 alla versione 10.7.4

    Impatto: un malintenzionato collegato in remoto potrebbe causare l'interruzione del servizio nei sistemi configurati per l'esecuzione di BIND come server dei nomi DNS

    Descrizione: si verificava un problema relativo al raggiungimento dell'asserzione nella gestione dei record DNS. Questo problema è stato risolto con l'aggiornamento alla versione BIND 9.7.6-P1. Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2011-4313

  • BIND

    Disponibile per: OS X Lion dalla versione v10.7 alla versione v10.7.4, OS X Lion Server dalla versione v10.7 alla versione v10.7.4, OS X Mountain Lion v10.8 e v10.8.1

    Impatto: un malintenzionato collegato in remoto potrebbe causare un'interruzione del servizio, il danneggiamento dei dati o rilevare informazioni riservate dalla memoria dei processi nei sistemi configurati per l'esecuzione di BIND come server dei nomi DNS

    Descrizione: si verifica un danneggiamento della memoria nella gestione dei record DNS. Questo problema è stato risolto con l'aggiornamento alla versione BIND 9.7.6-P1 nei sistemi OS X Lion e alla versione BIND 9.8.3-P1 nei sistemi OS X Mountain Lion.

    ID CVE

    CVE-2012-1667

  • CoreText

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.4, OS X Lion Server dalla versione 10.7 alla versione 10.7.4

    Impatto: le applicazioni che usano CoreText potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di controllo dei limiti nella gestione di parti di testo, che potrebbero causare il superamento dei limiti per le operazioni di lettura e scrittura della memoria. Questo problema è stato risolto attraverso un migliore controllo dei limiti. Questo problema non riguarda i sistemi Mac OS X v10.6 o OS X Mountain Lion.

    ID CVE

    CVE-2012-3716 : Jesse Ruderman di Mozilla Corporation

  • Sicurezza dei dati

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion dalla versione v10.7 alla versione v10.7.4, OS X Lion Server dalla versione v10.7 alla versione v10.7.4, OS X Mountain Lion v10.8 e v10.8.1

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.

    Descrizione: TrustWave, un'autorità di certificazione radice attendibile, aveva emesso e, successivamente, revocato un certificato di sotto-CA a uno dei propri trust anchor. Questo certificato di sotto-CA ha agevolato l'intercettazione delle comunicazioni protette mediante Transport Layer Security (TLS). Questo aggiornamento consente di aggiungere i certificati di sotto-CA interessati all'elenco dei certificati non provenienti da un'autorità di certificazione attendibile di OS X.

  • DirectoryService

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impatto: se è attivato DirectoryService Proxy, un malintenzionato collegato in remoto potrebbe causare l'interruzione del servizio o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer in DirectoryService Proxy. Questo problema è stato risolto attraverso un migliore controllo dei limiti. Questo problema non riguarda i sistemi OS X Lion e Mountain Lion.

    ID CVE

    CVE-2012-0650 : aazubel, che collabora con la Zero Day Initiative di HP

  • ImageIO

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: la visualizzazione di un'immagine PNG pericolosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di danneggiamento della memoria durante la gestione delle immagini PNG. Questi problemi sono stai risolti attraverso una migliore convalida delle immagini PNG. Questi problemi non riguardano i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2011-3026 : Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: la visualizzazione di un'immagine TIFF pericolosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un problema di overflow di numero intero nella gestione delle immagini TIFF di libTIFF. Questo problema è stato risolto attraverso una migliore convalida delle immagini TIFF. Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2012-1173 : Alexander Gavrun collaboratore della Zero Day Initiative di HP

  • Installazione

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.4, OS X Lion Server dalla versione 10.7 alla versione 10.7.4

    Impatto: gli amministratori remoti e le persona con accesso fisico al sistema potrebbero ottenere informazioni sull'account

    Descrizione: la riparazione di CVE-2012-0652 in OS X Lion 10.7.4 impediva la registrazione delle password utente nel registro di sistema, ma non rimuoveva le voci esistenti nel registro. Questo problema stato risolto con l'eliminazione dei file di registro che contenevano password. Questo problema non riguarda i sistemi Mac OS X 10.6 o OS X Mountain Lion.

    ID CVE

    CVE-2012-0652

  • ICU (International Components for Unicode)

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: le applicazioni che usano ICU potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer di stack nella gestione degli ID locali di ICU. Questo problema è stato risolto attraverso un migliore controllo dei limiti. Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2011-4599

  • Kernel

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.4, OS X Lion Server dalla versione 10.7 alla versione 10.7.4

    Impatto: un programma pericoloso potrebbe essere in grado di evitare le restrizioni della sandbox.

    Descrizione: si è verificato un problema logico nella gestione delle chiamate di sistema di debug. Questo potrebbe consentire a un programma pericoloso di ottenere l'esecuzione di un codice in altri programmi con gli stessi privilegi dell'utente. Questo problema è stato risolto disattivando la gestione degli indirizzi in PT_STEP e PT_CONTINUE. Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-0643: Jailbreak Dream Team per iOS 2012

  • LoginWindow

    Disponibile per: OS X Mountain Lion v10.8 e v10.8.1

    Impatto: un utente locale poteva riuscire ad ottenere le password di accesso degli altri utenti

    Descrizione: un metodo di input installato dall'utente poteva consentire il rilevamento della sequenza dei tasti delle password tramite la finestra di login o lo sblocco del salvaschermo. Questo problema è stato risolto impedendo l'utilizzo di metodi installati dall'utente quando il sistema viene utilizzato per gestire le informazioni di login.

    ID CVE

    CVE-2012-3718: Un ricercatore anonimo

  • Mail

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: la visualizzazione di un messaggio e-mail poteva comportare l'esecuzione di plugin Web

    Descrizione: un errore nella convalida dell'input si verificava nella gestione dei plugin Web incorporati di Mail. Questo problema è stato risolto disattivando i plugin di terze parti in Mail. Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2012-3719: Will Dormann di CERT/CC

  • Account mobile

    Disponibile per: OS X Mountain Lion v10.8 e v10.8.1

    Impatto: un utente con l'accesso ai contenuti di un account mobile poteva riuscire a ottenere la password dell'account

    Descrizione: la creazione di un account mobile comportava il salvataggio all'interno dell'account di un hash della password utilizzato per accedere all'account mobile da un account esterno. L'hash della password poteva essere utilizzato per rilevare la password dell'utente. Questo problema è stato risolto consentendo la creazione di un hash della password solo se gli account esterni sono attivati nel sistema in cui viene creato l'account mobile.

    ID CVE

    CVE-2012-3720 : Harald Wagener di Google, Inc.

  • PHP

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion dalla versione v10.7 alla versione v10.7.4, OS X Lion Server dalla versione v10.7 alla versione v10.7.4, OS X Mountain Lion v10.8 e v10.8.1

    Impatto: diverse vulnerabilità in PHP

    Descrizione: > l'aggiornamento di PHP alla versione 5.3.15 consente di risolvere diverse vulnerabilità, la più grave delle quali può comportare l'esecuzione di codice arbitrario. Ulteriori informazioni sono disponibili sul sito Web di PHP http://www.php.net

    ID CVE

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: gli script PHP che utilizzano libpng potrebbero essere soggetti a chiusura improvvisa delle applicazioni o a esecuzione di codice arbitrario.

    Descrizione: si verifica un danneggiamento della memoria nella gestione dei file PNG. Questo problema è stato risolto aggiornando la copia del PHP di libpng alla versione 1.5.10. Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2011-3048

  • Gestore profilo

    Disponibile per: OS X Lion Server dalla versione v10.7 alla versione v10.7.4

    Impatto: un utente non autenticato potrebbe enumerare i dispositivi gestiti

    Descrizione: si verificava un problema di autenticazione nell'interfaccia privata di Gestione dispositivi. Questo problema è stato risolto grazie alla rimozione dell'interfaccia.

    Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2012-3721 : Derick Cassidy di XEquals Corporation

  • QuickLook

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: la visualizzazione di un file .pict pericoloso può provocare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un danneggiamento della memoria nella gestione dei file .pict. Questo problema è stato risolto mediante una migliore convalida dei file .pict Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2012-0671 : Rodrigo Rubira Branco (twitter.com/bsdaemon) del Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: la visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verificava un overflow di numero intero nella gestione dei sean atom da parte di QuickTime. Questo problema è stato risolto attraverso un migliore controllo dei limiti. Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2012-0670 : Tom Gallagher (Microsoft) e Paul Bates (Microsoft) collaboratori della Zero Day Initiative di HP

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: la visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si è verificato un problema di accesso alla memoria non inizializzata nella gestione dei filmati Sorenson codificati. Questo problema è stato risolto attraverso una migliore inizializzazione della memoria. Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2012-3722: Will Dormann di CERT/CC

  • QuickTime

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: la visualizzazione di un filmato pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer di nella gestione di filmati RLE codificati. Questo problema è stato risolto attraverso un migliore controllo dei limiti. Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2012-0668: Luigi Auriemma, collaboratore della Zero Day Initiative di HP.

  • Ruby

    Disponibile per: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion dalla versione 10.7 alla 10.7.4, OS X Lion Server dalla versione 10.7 alla 10.7.4

    Impatto: un malintenzionato potrebbe essere in grado di decriptare i dati protetti da SSL

    Descrizione: esistono noti attacchi sulla riservatezza di SSL 3.0 e TLS 1.0 quando una suite di codice utilizza un codice di blocco nella modalità CBC. Il modulo di Ruby OpenSSL disattivava la contromisura "frammenti vuoti" che consentiva di impedire questi attacchi. Il problema è stato risolto abilitando i frammenti vuoti. Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2011-3389

  • USB

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.4, OS X Lion Server dalla versione 10.7 alla versione 10.7.4

    Impatto: il collegamento di un dispositivo USB poteva causare l'arresto inaspettato del sistema o l'esecuzione di codice arbitrario

    Descrizione: si verifica un danneggiamento della memoria nella gestione dei descrittori degli hub USB. Questo problema è stato risolto attraverso una gestione migliorata del campo dei descrittori bNbrPorts. Questo problema non riguarda i sistemi OS X Mountain Lion.

    ID CVE

    CVE-2012-3723 : Andy Davis di NGS Secure

Importante: Le citazioni di siti Web e prodotti di terze parti sono soltanto a scopo informativo e non costituiscono né una approvazione, né una raccomandazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all’utilizzo di informazioni o prodotti reperibili presso i siti Web di terze parti. Apple fornisce queste informazioni solo per comodità dei propri utenti. Apple non ha verificato le informazioni reperibili su questi siti e non esprime alcuna opinione in merito alla loro precisione o affidabilità. Esistono rischi inerenti l’utilizzo di informazioni o prodotti reperibili in Internet e Apple non si assume alcuna responsabilità al riguardo. Qualsiasi sito di terze parti è indipendente da Apple e Apple non esercita alcun controllo sul contenuto di tali siti Web. Per ulteriori informazioni, si prega di contattare il produttore.

Ultima modifica: 2-ott-2012
Utile?
No
  • Last Modified: 2-ott-2012
  • Article: HT5501
  • Views:

    null

Informazioni aggiuntive di supporto al prodotto