Lingua

Informazioni sul contenuto di sicurezza di OS X Mountain Lion 10.8.3 e sull'aggiornamento di sicurezza 2013-001

Questo documento descrive il contenuto di sicurezza di OS X Lion 10.8.3 e l'aggiornamento di sicurezza 2013-001, che è possibile scaricare e installare tramite le preferenze di Aggiornamento Software o dalla pagina dei download di Apple.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni aggiuntive sugli aggiornamenti di sicurezza, consulta l'articolo "Aggiornamenti di sicurezza Apple".

Nota: OS X Mountain Lion 10.8.3 include il contenuto di Safari 6.0.3. Per ulteriori informazioni, consulta l'articolo Informazioni sul contenuto di sicurezza di Safari 6.0.3.

OS X Mountain Lion 10.8.3 e aggiornamento di sicurezza 2013-001

  • Apache

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla versione 10.7.5, OS X Lion Server dalla versione 10.7 alla versione 10.7.5, OS X Mountain Lion dalla versione 10.8 alla versione 10.8.2

    Impatto: un malintenzionato poteva accedere alle directory protette mediante autenticazione HTTP pur non conoscendo le credenziali corrette.

    Descrizione: si verificava un problema di canonicalizzazione nella gestione degli URI con sequenze di caratteri Unicode ignorabili. Questo problema è stato risolto aggiornando mod_hfs_apple in modo da impedire l'accesso agli URI con sequenze di caratteri Unicode ignorabili.

    ID CVE

    CVE-2013-0966: Clint Ruoho di Laconic Security

  • CoreTypes

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.5, OS X Lion Server dalla versione 10.7 alla versione 10.7.5, OS X Mountain Lion dalla versione 10.8 alla versione 10.8.2

    Impatto: l'accesso a un sito web pericoloso poteva determinare l'avvio automatico di un'applicazione Java Web Start anche se il plug-in Java era disattivato.

    Descrizione: l'esecuzione delle applicazioni Java Web Start era possibile anche se il plug-in Java era disattivato. Questo problema è stato risolto rimuovendo i file JNLP dall'elenco dei tipi di file CoreTypes sicuri, in modo da impedire l'esecuzione delle applicazioni Web Start, a meno che queste non vengano avviate dall'utente nella directory dei download.

    ID CVE

    CVE-2013-0967

  • ICU (International Components for Unicode)

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla versione 10.7.5, OS X Lion Server dalla versione 10.7 alla versione 10.7.5, OS X Mountain Lion dalla versione 10.8 alla versione 10.8.2

    Impatto: l'accesso a un sito web pericoloso poteva causare un attacco di scripting cross-site.

    Descrizione: si verificava un problema di canonicalizzazione nella gestione della codifica EUC-JP, che poteva causare un attacco di scripting cross-site nei siti web con codifica EUC-JP. Il problema è stato risolto aggiornando la tabella di mapping EUC-JP.

    ID CVE

    CVE-2011-3058: Masato Kinugawa

  • Servizi di identità

    Disponibile per: OS X Lion dalla versione 10.7 alla versione 10.7.5, OS X Lion Server dalla versione 10.7 alla versione 10.7.5, OS X Mountain Lion dalla versione 10.8 alla versione 10.8.2

    Impatto: l'autenticazione basata su ID Apple con certificato poteva essere ignorata.

    Descrizione: si verificava un errore di gestione nei Servizi di identità. Se l'operazione di convalida del certificato associato all'ID Apple dell'utente non riusciva, l'ID Apple veniva considerato una stringa vuota. Se questa situazione si verificava in più sistemi appartenenti a utenti diversi, le applicazioni che si servivano della determinazione di questa identità potevano erroneamente estendere l'affidabilità. Il problema è stato risolto assicurando la restituzione del valore NULL invece di una stringa vuota.

    ID CVE

    CVE-2013-0963

  • ImageIO

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla versione 10.7.5, OS X Lion Server dalla versione 10.7 alla versione 10.7.5, OS X Mountain Lion dalla versione 10.8 alla versione 10.8.2

    Impatto: la visualizzazione di un file TIFF pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione delle immagini TIFF da parte della libreria libtiff. Questo problema è stato risolto attraverso un'ulteriore convalida delle immagini TIFF.

    ID CVE

    CVE-2012-2088

  • IOAcceleratorFamily

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla versione 10.8.2

    Impatto: la visualizzazione di un'immagine pericolosa poteva provocare la chiusura inattesa del sistema o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei dati grafici. Questo problema è stato risolto mediante un migliore controllo dei limiti.

    ID CVE

    CVE-2013-0976: un ricercatore anonimo

  • Kernel

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla versione 10.8.2

    Impatto: le applicazioni pericolose o compromesse potevano riuscire a rilevare gli indirizzi nel kernel.

    Descrizione: si verificava un problema di gestione delle API collegate alle estensioni del kernel che causava la divulgazione di informazioni. Le risposte contenenti un codice OSBundleMachOHeaders potevano includere indirizzi kernel in grado di bypassare la protezione tramite ASLR (Address Space Layout Randomization). Questo problema è stato risolto sbloccando gli indirizzi prima della loro restituzione.

    ID CVE

    CVE-2012-3749: Mark Dowd di Azimuth Security, Eric Monti di Square e altri ricercatori anonimi

  • Finestra di login

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla versione 10.8.2

    Impatto: un malintenzionato con accesso alla tastiera poteva modificare la configurazione di sistema.

    Descrizione: si verificava un errore logico nella gestione di VoiceOver nella finestra di login, per cui un malintenzionato con accesso alla tastiera poteva avviare Preferenze di Sistema e modificare la configurazione di sistema. Questo problema è stato risolto impedendo a VoiceOver di avviare applicazioni dalla finestra di login.

    ID CVE

    CVE-2013-0969: Eric A. Schulman di Purpletree Labs

  • Messaggi

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla versione 10.8.2

    Impatto: la selezione di un link in Messaggi poteva avviare una chiamata FaceTime senza alcuna richiesta di conferma.

    Descrizione: se in Messaggi veniva fatto clic su un URL FaceTime:// con una specifica formattazione, la richiesta di conferma standard poteva essere bypassata. Questo problema è stato risolto attraverso un'ulteriore convalida degli URL FaceTime://.

    ID CVE

    CVE-2013-0970: Aaron Sigel di vtty.com

  • Server dei messaggi

    Disponibile per: Mac OS X Server 10.6.8, OS X Lion Server dalla versione 10.7 alla versione 10.7.5

    Impatto: un malintenzionato collegato in remoto poteva deviare i messaggi Jabber federativi.

    Descrizione: si verificava un problema nella gestione del server Jabber dei messaggi ottenuti da dialback. Un malintenzionato poteva consentire al server Jabber di divulgare informazioni destinate a utenti di server federativi. Questo problema è stato risolto migliorando la gestione dei messaggi ottenuti da dialback.

    ID CVE

    CVE-2012-3525

  • PDFKit

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla versione 10.7.5, OS X Lion Server dalla versione 10.7 alla versione 10.7.5, OS X Mountain Lion dalla versione 10.8 alla versione 10.8.2

    Impatto: la visualizzazione di un documento PDF pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di tipo use-after-free nella gestione delle annotazioni a penna nei file PDF. Questo problema è stato risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2013-0971: Tobias Klein, collaboratore della Zero Day Initiative di HP TippingPoint

  • Server Podcast Producer

    Disponibile per: Mac OS X Server 10.6.8, OS X Lion Server dalla versione 10.7 alla versione 10.7.5

    Impatto: un malintenzionato collegato in remoto poteva causare l'esecuzione di codice arbitrario.

    Descrizione: si verificava un errore di casting di tipo nella gestione dei parametri XML di Ruby on Rails. Questo problema è stato risolto disattivando i parametri XML nell'implementazione di Rails utilizzata dal server Podcast Producer.

    ID CVE

    CVE-2013-0156

  • Server Podcast Producer

    Disponibile per: OS X Lion Server dalla versione 10.7 alla versione 10.7.5

    Impatto: un malintenzionato collegato in remoto poteva causare l'esecuzione di codice arbitrario.

    Descrizione: si verificava un errore di casting di tipo nella gestione dei dati JSON di Ruby on Rails. Questo problema è stato risolto utilizzando il backend JSONGem per l'analisi JSON nell'implementazione di Rails utilizzata dal server Podcast Producer.

    ID CVE

    CVE-2013-0333

  • PostgreSQL

    Disponibile per: Mac OS X Server 10.6.8, OS X Lion Server dalla versione 10.7 alla versione 10.7.5

    Impatto: diverse vulnerabilità in PostgreSQL.

    Descrizione: PostgreSQL è stato aggiornato alla versione 9.1.5 per risolvere diverse vulnerabilità, fra cui la più grave permetteva agli utenti del database di leggere i file del file system con i privilegi dell'account del server del database. Ulteriori informazioni sono disponibili sul sito web PostgreSQL http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

    ID CVE

    CVE-2012-3488

    CVE-2012-3489

  • Gestore profilo

    Disponibile per: OS X Lion Server dalla versione 10.7 alla versione 10.7.5

    Impatto: un malintenzionato collegato in remoto poteva causare l'esecuzione di codice arbitrario.

    Descrizione: si verificava un errore di casting di tipo nella gestione dei parametri XML di Ruby on Rails. Questo problema è stato risolto disattivando i parametri XML nell'implementazione di Rails utilizzata da Gestore profilo.

    ID CVE

    CVE-2013-0156

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla versione 10.7.5, OS X Lion Server dalla versione 10.7 alla versione 10.7.5, OS X Mountain Lion dalla versione 10.8 alla versione 10.8.2

    Impatto: la visualizzazione di un file di filmato pericoloso poteva provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione delle caselle 'rnet' nei file MP4. Questo problema è stato risolto mediante un migliore controllo dei limiti.

    ID CVE

    CVE-2012-3756: Kevin Szkudlapski di QuarksLab

  • Ruby

    Disponibile per: Mac OS X Server 10.6.8

    Impatto: un malintenzionato collegato in remoto poteva causare l'esecuzione di codice arbitrario se un'applicazione Rails era in esecuzione.

    Descrizione: si verificava un errore di casting di tipo nella gestione dei parametri XML di Ruby on Rails. Questo problema è stato risolto disattivando YAML e i simboli nei parametri XML in Rails.

    ID CVE

    CVE-2013-0156

  • Sicurezza

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla versione 10.7.5, OS X Lion Server dalla versione 10.7 alla versione 10.7.5, OS X Mountain Lion dalla versione 10.8 alla versione 10.8.2

    Impatto: un malintenzionato con una posizione privilegiata in rete poteva intercettare le credenziali dell'utente o altre informazioni riservate.

    Descrizione: numerosi certificati CA intermedi sono stati erroneamente emessi da TURKTRUST. Ciò consentiva a un malintenzionato di portare a termine un attacco man-in-the-middle reindirizzando le connessioni e intercettando le credenziali utente o altre informazioni riservate. Il problema è stato risolto negando le autorizzazioni ai certificati SSL non corretti.

  • Aggiornamento Software

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5

    Impatto: un malintenzionato con una posizione privilegiata in rete poteva causare l'esecuzione di codice arbitrario.

    Descrizione: Aggiornamento Software consentiva nell'ambito di un attacco man-in-the-middle di inserire i contenuti di un plug-in all'interno del testo di marketing visualizzato per gli aggiornamenti. Ciò poteva causare l'utilizzo di plug-in vulnerabili o facilitare gli attacchi di ingegneria sociale basati sull'uso di plug-in. Il problema non interessava i sistemi OS X Mountain Lion. Questo problema è stato risolto impedendo il caricamento di plug-in nella WebView dei testi di marketing di Aggiornamento Software.

    ID CVE

    CVE-2013-0973: Emilio Escobar

  • Server Wiki

    Disponibile per: OS X Lion Server dalla versione 10.7 alla versione 10.7.5

    Impatto: un malintenzionato collegato in remoto poteva causare l'esecuzione di codice arbitrario.

    Descrizione: si verificava un errore di casting di tipo nella gestione dei parametri XML di Ruby on Rails. Questo problema è stato risolto disattivando i parametri XML nell'implementazione di Rails utilizzata da Server Wiki.

    ID CVE

    CVE-2013-0156

  • Server Wiki

    Disponibile per: OS X Lion Server dalla versione 10.7 alla versione 10.7.5

    Impatto: un malintenzionato collegato in remoto poteva causare l'esecuzione di codice arbitrario.

    Descrizione: si verificava un errore di casting di tipo nella gestione dei dati JSON di Ruby on Rails. Questo problema è stato risolto utilizzando il backend JSONGem per l'analisi JSON nell'implementazione di Rails utilizzata da Server Wiki.

    ID CVE

    CVE-2013-0333

  • Rimozione di malware

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla versione 10.7.5, OS X Lion Server dalla versione 10.7 alla versione 10.7.5, OS X Mountain Lion dalla versione 10.8 alla versione 10.8.2

    Descrizione: questo aggiornamento esegue uno strumento di rimozione del malware che ne rimuove le varianti più comuni. Nel caso in cui venga rilevato malware, viene visualizzata una finestra di dialogo che comunica all'utente l'avvenuta rimozione del malware. L'utente non visualizzerà alcun messaggio se il malware non verrà individuato.

 

Importante: Le citazioni di siti Web e prodotti di terze parti sono soltanto a scopo informativo e non costituiscono né una approvazione, né una raccomandazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all’utilizzo di informazioni o prodotti reperibili presso i siti Web di terze parti. Apple fornisce queste informazioni solo per comodità dei propri utenti. Apple non ha verificato le informazioni reperibili su questi siti e non esprime alcuna opinione in merito alla loro precisione o affidabilità. Esistono rischi inerenti l’utilizzo di informazioni o prodotti reperibili in Internet e Apple non si assume alcuna responsabilità al riguardo. Qualsiasi sito di terze parti è indipendente da Apple e Apple non esercita alcun controllo sul contenuto di tali siti Web. Per ulteriori informazioni, si prega di contattare il produttore.

Ultima modifica: 20-mar-2013
Utile?
No
Not helpful Somewhat helpful Helpful Very helpful Solved my problem
Stampa questa pagina
  • Ultima modifica: 20-mar-2013
  • Articolo: HT5672
  • Viste:

    192709
  • Classifica:
    • 100.0

    (7 risposte)

Informazioni aggiuntive di supporto al prodotto