Lingua

Informazioni sul contenuto di sicurezza di OS X Mountain Lion 10.8.4 e sull'aggiornamento di sicurezza 2013-002

In questo documento viene descritto il contenuto di sicurezza di OS X Lion 10.8.4 e l'aggiornamento di sicurezza 2013-002, che può essere scaricato e installato tramite le preferenze di Aggiornamento Software o dalla pagina dei download di Apple.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per ulteriori informazioni sugli aggiornamenti relativi alla sicurezza consulta l'articolo "Aggiornamenti di sicurezza Apple".
 

OS X Mountain Lion 10.8.4 e aggiornamento di sicurezza 2013-002

Nota: OS X Mountain Lion 10.8.4 include il contenuto di Safari 6.0.5. Per ulteriori informazioni consulta l'articolo Informazioni sul contenuto di sicurezza di Safari 6.0.5.

  • CFNetwork

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: un malintenzionato con accesso alla sessione di un utente potrebbe essere in grado di accedere ai siti precedentemente visitati, anche nel caso in cui sia stata utilizzata la modalità Navigazione privata.

    Descrizione: i cookie permanenti sono stati salvati dopo aver chiuso Safari, anche se è stata attivata la modalità Navigazione privata. Questo problema è stato risolto attraverso una migliore gestione dei cookie.

    ID CVE

    CVE-2013-0982: Alexander Traud di www.traud.de

  • CoreAnimation

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: l'accesso a un sito web pericoloso potrebbe comportare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di allocazione dello stack non vincolato nella gestione dei glifi del testo. Questo potrebbe dipendere dall'accesso a URL pericolosi su Safari. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2013-0983: David Fifield della Stanford University, Ben Syverson

  • CoreMedia Playback

    Disponibile per: OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di accesso alla memoria non inizializzata nella gestione delle tracce di testo. Questo problema è stato risolto eseguendo ulteriori convalide delle tracce di testo.

    ID CVE

    CVE-2013-1024: Richard Kuo e Billy Suguitan di Triemt Corporation

  • CUPS

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: un utente locale del gruppo lpadmin potrebbe essere in grado di leggere o scrivere file arbitrari con privilegi di sistema.

    Descrizione: si è verificato un problema di escalation dei privilegi nella gestione della configurazione CUPS tramite la relativa interfaccia web. Un utente locale del gruppo lpadmin potrebbe essere in grado di leggere o scrivere file arbitrari con privilegi di sistema. Questo problema è stato risolto spostando determinate direttive di configurazione nel file cups-files.conf, che non può essere modificato dall'interfaccia web di CUPS.

    ID CVE

    CVE-2012-5519

  • Servizio directory

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8.

    Impatto: un malintenzionato collegato in remoto potrebbe eseguire del codice arbitrario con privilegi di sistema su sistemi con Servizio directory attivato.

    Descrizione: si è verificato un problema nella gestione di messaggi provenienti dal network da parte del server di directory. Inviando un messaggio pericoloso, un malintenzionato collegato in remoto potrebbe causare la chiusura del server di directory o l'esecuzione di codice arbitrario con i privilegi di sistema. Questo problema, che non riguarda i sistemi OS X Lion o OS X Mountain Lion, è stato risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2013-0984: Nicolas Economou di Core Security

  • Gestione disco

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: un utente locale potrebbe disabilitare FileVault.

    Descrizione: un utente locale diverso dall'amministratore potrebbe disattivare FileVault utilizzando la riga di comando. Questo problema è stato risolto tramite un'autenticazione aggiuntiva.

    ID CVE

    CVE-2013-0985

  • OpenSSL

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: un malintenzionato potrebbe essere in grado di decrittografare i dati protetti da SSL.

    Descrizione: si sono verificati noti attacchi alla riservatezza di TLS 1.0 una volta attivata la compressione. Questo problema è stato risolto disattivando la compressione in OpenSSL.

    ID CVE

    CVE-2012-4929: Juliano Rizzo e Thai Duong

  • OpenSSL

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: si verificano diverse vulnerabilità in OpenSSL.

    Descrizione: OpenSSL è stato aggiornato alla versione 0.9.8x per risolvere diversi problemi di vulnerabilità, che potrebbero causare l'interruzione del servizio o la divulgazione di una chiave privata. Ulteriori informazioni sono disponibili sul sito web di OpenSSL http://www.openssl.org/news/.

    ID CVE

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Disponibile per: OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2.

    Impatto: l'apertura di un'immagine PICT pericolosa potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un sovraccarico del buffer nella gestione di immagini PICT. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2013-0975: Tobias Klein, collaboratore della Zero Day Initiative di HP

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un sovraccarico del buffer nella gestione degli atom "enof". Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2013-0986: Tom Gallagher (Microsoft) e Paul Bates (Microsoft), collaboratori della Zero Day Initiative di HP

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: la visualizzazione di un file QTIF pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un danneggiamento della memoria nella gestione dei file QTIF. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2013-0987: roob, collaboratore di iDefense VCP

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: la visualizzazione di un file FPX pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un sovraccarico del buffer nella gestione dei file FPX. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2013-0988: G. Geshev, collaboratore della Zero Day Initiative di HP

  • QuickTime

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: la riproduzione di un file MP3 pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un sovraccarico del buffer nella gestione dei file MP3. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2013-0989: G. Geshev, collaboratore della Zero Day Initiative di HP

  • Ruby

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8.

    Impatto: si verificano diverse vulnerabilità in Ruby on Rails.

    Descrizione: si sono verificati diversi problemi di vulnerabilità in Ruby on Rails, il più serio dei quali potrebbe causare l'esecuzione di codice arbitrario su sistemi che eseguono applicazioni basate su Ruby on Rails. Questi problemi, che potrebbero riguardare i sistemi OS X Lion o OS X Mountain Lion aggiornati da una versione Mac OS X 10.6.8 o meno recente, sono stati risolti aggiornando Ruby on Rails alla versione 2.3.18. Su questi sistemi gli utenti possono aggiornare le gem coinvolte usando l'utility /usr/bin/gem.

    ID CVE

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Disponibile per: OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: un utente autenticato potrebbe essere in grado di scrivere file all'esterno della cartella condivisa.

    Descrizione: se la condivisione di file SMB è attivata, un utente autenticato potrebbe essere in grado di scrivere file all'esterno della cartella condivisa. Questo problema è stato risolto attraverso un migliore controllo dell'accesso.

    ID CVE

    CVE-2013-0990: Ward van Wanrooij

  • Nota: a partire da OS X 10.8.4, le applicazioni Java Web Start (ad esempio JNLP) scaricate da internet devono essere firmate con un certificato Developer ID. Gatekeeper controllerà la firma delle applicazioni Java Web Start e bloccherà l'avvio di quelle sprovviste della firma adeguata.

Importante: Le citazioni di siti Web e prodotti di terze parti sono soltanto a scopo informativo e non costituiscono né una approvazione, né una raccomandazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all’utilizzo di informazioni o prodotti reperibili presso i siti Web di terze parti. Apple fornisce queste informazioni solo per comodità dei propri utenti. Apple non ha verificato le informazioni reperibili su questi siti e non esprime alcuna opinione in merito alla loro precisione o affidabilità. Esistono rischi inerenti l’utilizzo di informazioni o prodotti reperibili in Internet e Apple non si assume alcuna responsabilità al riguardo. Qualsiasi sito di terze parti è indipendente da Apple e Apple non esercita alcun controllo sul contenuto di tali siti Web. Per ulteriori informazioni, si prega di contattare il produttore.

Ultima modifica: 12-giu-2013
Utile?
No
  • Last Modified: 12-giu-2013
  • Article: HT5784
  • Views:

    333
  • Rating:
    • 100.0

    (1 risposte)

Informazioni aggiuntive di supporto al prodotto