Informazioni sui contenuti di sicurezza di Mountain Lion 10.8.3 e sull'aggiornamento di sicurezza 2013-001
In questo documento vengono descritti i contenuti di sicurezza di OS X Mountain Lion 10.8.3 e l'aggiornamento di sicurezza 2013-001.
È possibile scaricare e installare OS X Mountain Lion 10.8.3 e l'aggiornamento di sicurezza 2013-001 tramite le preferenze Aggiornamento Software o dalla pagina Download di Apple.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple".
Nota: OS X Mountain Lion 10.8.3 include il contenuto di Safari 6.0.3. Per ulteriori informazioni consulta l'articolo Informazioni sui contenuti di sicurezza di Safari 6.0.3.
OS X Mountain Lion 10.8.3 e aggiornamento di sicurezza 2013-001
Apache
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2
Impatto: un malintenzionato può accedere alle directory protette mediante autenticazione HTTP pur non conoscendo le credenziali corrette.
Descrizione: si verifica un problema di canonicalizzazione nella gestione degli URI con sequenze di caratteri Unicode ignorabili. Questo problema viene risolto aggiornando mod_hfs_apple in modo da impedire l'accesso agli URI con sequenze di caratteri Unicode ignorabili.
ID CVE
CVE-2013-0966: Clint Ruoho di Laconic Security
CoreTypes
Disponibile per: OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2
Impatto: l'accesso a un sito web pericoloso può determinare l'avvio automatico di un'applicazione Java Web Start anche se il plugin Java è disattivato.
Descrizione: l'esecuzione delle applicazioni Java Web Start è possibile anche se il plugin Java è disattivato. Questo problema viene risolto rimuovendo i file JNLP dall'elenco dei tipi di file CoreTypes sicuri, in modo da impedire l'esecuzione delle applicazioni Web Start, a meno che queste non vengano avviate dall'utente nella directory dei download.
ID CVE
CVE-2013-0967
ICU (International Components for Unicode)
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2
Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco di scripting cross-site.
Descrizione: si verifica un problema di canonicalizzazione nella gestione della codifica EUC-JP, che può causare un attacco di scripting cross-site nei siti web con codifica EUC-JP. Questo problema viene risolto aggiornando la tabella di mapping EUC-JP.
ID CVE
CVE-2011-3058: Masato Kinugawa
Servizi di identità
Disponibile per: OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2
Impatto: l'autenticazione basata su ID Apple con certificato può essere ignorata.
Descrizione: si verifica un problema di gestione degli errori in Servizi di identità. Se l'operazione di convalida del certificato associato all'ID Apple dell'utente non riesce, l'ID Apple viene considerato una stringa vuota. Se questa situazione si verifica in più sistemi appartenenti a utenti diversi, le applicazioni basate su questa determinazione dell'identità possono erroneamente estendere l'affidabilità. Questo problema viene risolto assicurando la restituzione del valore NULL invece di una stringa vuota.
ID CVE
CVE-2013-0963
ImageIO
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2
Impatto: la visualizzazione di un file TIFF pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer nella gestione delle immagini TIFF da parte della libreria libtiff. Questo problema viene risolto attraverso un'ulteriore convalida delle immagini TIFF.
ID CVE
CVE-2012-2088
IOAcceleratorFamily
Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.2
Impatto: la visualizzazione di un'immagine pericolosa può causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei dati grafici. Questo problema viene risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2013-0976: un ricercatore anonimo
Kernel
Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.2
Impatto: le applicazioni dannose o compromesse possono riuscire a rilevare gli indirizzi nel kernel.
Descrizione: si verifica un problema di gestione delle API collegate alle estensioni del kernel che causa la divulgazione di informazioni. Le risposte contenenti un codice OSBundleMachOHeaders possono includere indirizzi kernel in grado di ignorare la protezione ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi). Questo problema viene risolto sbloccando gli indirizzi prima della loro restituzione.
ID CVE
CVE-2012-3749: Mark Dowd di Azimuth Security, Eric Monti di Square e altri ricercatori anonimi
Finestra di login
Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.2
Impatto: un malintenzionato con accesso alla tastiera può modificare la configurazione di sistema.
Descrizione: si verifica un errore logico nella gestione della finestra di login da parte di VoiceOver, per cui un malintenzionato con accesso alla tastiera può avviare Preferenze di Sistema e modificare la configurazione di sistema. Questo problema viene risolto impedendo a VoiceOver di avviare applicazioni dalla finestra di login.
ID CVE
CVE-2013-0969: Eric A. Schulman di Purpletree Labs
Messaggi
Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.2
Impatto: una chiamata FaceTime senza alcuna richiesta di conferma può essere avviata facendo clic su un link da Messaggi.
Descrizione: se in Messaggi viene fatto clic su un URL FaceTime:// con una specifica formattazione, la richiesta di conferma standard può essere ignorata. Questo problema viene risolto attraverso un'ulteriore convalida degli URL FaceTime://.
ID CVE
CVE-2013-0970: Aaron Sigel di vtty.com
Server dei messaggi
Disponibile per: Mac OS X Server 10.6.8, OS X Lion Server dalla versione 10.7 alla 10.7.5
Impatto: un malintenzionato collegato in remoto può deviare i messaggi Jabber federativi.
Descrizione: si verifica un problema nella gestione del server Jabber dei messaggi ottenuti da dialback. Un malintenzionato può fare in modo che il server Jabber divulghi informazioni destinate a utenti di server federativi. Questo problema viene risolto migliorando la gestione dei messaggi ottenuti da dialback.
ID CVE
CVE-2012-3525
PDFKit
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2
Impatto: la visualizzazione di un file PDF pericoloso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di tipo use-after-free nella gestione delle annotazioni a penna nei file PDF. Questo problema viene risolto mediante una migliore gestione della memoria.
ID CVE
CVE-2013-0971: Tobias Klein, collaboratore della Zero Day Initiative di HP TippingPoint
Server Podcast Producer
Disponibile per: Mac OS X Server 10.6.8, OS X Lion Server dalla versione 10.7 alla 10.7.5
Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario
Descrizione: si verifica un errore di casting di tipo nella gestione dei parametri XML da parte di Ruby on Rails. Questo problema viene risolto disattivando i parametri XML nell'implementazione di Rails utilizzata dal server Podcast Producer.
ID CVE
CVE-2013-0156
Server Podcast Producer
Disponibile per: OS X Lion Server dalla versione 10.7 alla 10.7.5
Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario
Descrizione: si verifica un errore di casting di tipo nella gestione dei dati JSON da parte di Ruby on Rails. Questo problema viene risolto utilizzando il backend JSONGem per l'analisi JSON nell'implementazione di Rails utilizzata dal server Podcast Producer.
ID CVE
CVE-2013-0333
PostgreSQL
Disponibile per: Mac OS X Server 10.6.8, OS X Lion Server dalla versione 10.7 alla 10.7.5
Impatto: sono presenti diverse vulnerabilità in PostgreSQL.
Descrizione: PostgreSQL viene aggiornato alla versione 9.1.5 per risolvere diverse vulnerabilità, la più grave delle quali consente agli utenti del database di leggere i file dal file system con i privilegi dell'account del server del database. Ulteriori informazioni sono disponibili sul sito web di PostgreSQL all'indirizzo http://www.postgresql.org/docs/9.1/static/release-9-1-5.html.
ID CVE
CVE-2012-3488
CVE-2012-3489
Gestore profilo
Disponibile per: OS X Lion Server dalla versione 10.7 alla 10.7.5
Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario
Descrizione: si verifica un errore di casting di tipo nella gestione dei parametri XML da parte di Ruby on Rails. Questo problema viene risolto disattivando i parametri XML nell'implementazione di Rails utilizzata da Gestore profilo.
ID CVE
CVE-2013-0156
QuickTime
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2
Impatto: la visualizzazione di un file video pericoloso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer nella gestione delle caselle 'rnet' nei file MP4. Questo problema viene risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2012-3756: Kevin Szkudlapski di QuarksLab
Ruby
Disponibile per: Mac OS X Server 10.6.8
Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario se è in esecuzione un'applicazione Rails.
Descrizione: si verifica un errore di casting di tipo nella gestione dei parametri XML da parte di Ruby on Rails. Questo problema viene risolto disattivando YAML e i simboli nei parametri XML in Rails.
ID CVE
CVE-2013-0156
Sicurezza
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2
Impatto: un malintenzionato con una posizione privilegiata sulla rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.
Descrizione: diversi certificati CA intermedi vengono erroneamente emessi da TURKTRUST. Ciò consentiva a un malintenzionato di portare a termine attacchi man-in-the-middle reindirizzando le connessioni e intercettando le credenziali utente o altre informazioni riservate. Questo problema viene risolto negando le autorizzazioni ai certificati SSL non corretti.
Aggiornamento Software
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5
Impatto: un malintenzionato con una posizione privilegiata sulla rete può causare l'esecuzione di codice arbitrario.
Descrizione: Aggiornamento Software consente nell'ambito di un attacco man-in-the-middle di inserire i contenuti di un plugin all'interno del testo di marketing visualizzato per gli aggiornamenti. Ciò può causare l'utilizzo di plugin vulnerabili o facilitare gli attacchi di ingegneria sociale basati sull'uso di plugin. Questo problema non interessa i sistemi OS X Mountain Lion e viene risolto impedendo il caricamento di plugin nella WebView dei testi di marketing di Aggiornamento Software.
ID CVE
CVE-2013-0973: Emilio Escobar
Wiki Server
Disponibile per: OS X Lion Server dalla versione 10.7 alla 10.7.5
Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario
Descrizione: si verifica un errore di casting di tipo nella gestione dei parametri XML da parte di Ruby on Rails. Questo problema viene risolto disattivando i parametri XML nell'implementazione di Rails utilizzata da Server Wiki.
ID CVE
CVE-2013-0156
Wiki Server
Disponibile per: OS X Lion Server dalla versione 10.7 alla 10.7.5
Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario
Descrizione: si verifica un errore di casting di tipo nella gestione dei dati JSON da parte di Ruby on Rails. Questo problema viene risolto utilizzando il backend JSONGem per l'analisi JSON nell'implementazione di Rails utilizzata da Server Wiki.
ID CVE
CVE-2013-0333
Rimozione di malware
Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2
Descrizione: questo aggiornamento esegue uno strumento di rimozione del malware che ne rimuove le varianti più comuni. Nel caso in cui venga rilevato malware, viene visualizzata una finestra di dialogo che comunica all'utente l'avvenuta rimozione del malware. L'utente non visualizzerà alcun messaggio se il malware non verrà individuato.
FaceTime non è disponibile in tutti i Paesi o in tutte le aree geografiche.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.