Informazioni sui contenuti di sicurezza di OS X Mountain Lion 10.8.4 e sull'aggiornamento di sicurezza 2013-002

In questo documento vengono descritti i contenuti di sicurezza di OS X Mountain Lion 10.8.4 e dell'aggiornamento di sicurezza 2013-002, che può essere scaricato e installato tramite le preferenze di Aggiornamento Software o da Download Apple.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple."

OS X Mountain Lion 10.8.4 e aggiornamento di sicurezza 2013-002

Nota: OS X Mountain Lion 10.8.4 include il contenuto di Safari 6.0.5. Per ulteriori informazioni consulta l'articolo Informazioni sui contenuti di sicurezza di Safari 6.0.5.

  • CFNetwork

    Disponibile per: OS X Mountain Lion da 10.8 a 10.8.3

    Impatto: un utente malintenzionato con accesso alla sessione di un altro utente potrebbe essere in grado di accedere a siti già visitati in precedenza, anche se è stata utilizzata la navigazione privata.

    Descrizione: dopo aver chiuso Safari venivano salvati i cookie permanenti anche se era abilitata la navigazione privata. Il problema è stato risolto attraverso una migliore gestione dei cookie.

    CVE-ID

    CVE-2013-0982: Alexander Traud di www.traud.de

  • CoreAnimation

    Disponibile per: OS X Mountain Lion da 10.8 a 10.8.3

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di allocazione illimitata delle raccolte nella gestione dei glifi di testo. Questa operazione poteva essere attivata da URL pericolosi in Safari. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-0983: David Fifield della Stanford University, Ben Syverson

  • CoreMedia Playback

    Disponibile per: OS X Lion da 10.7 a 10.7.5, OS X Lion Server da 10.7 a 10.7.5, OS X Mountain Lion da 10.8 a 10.8.3

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di accesso alla memoria non inizializzato nella gestione delle tracce di testo. Questo problema è stato risolto attraverso un'ulteriore convalida delle tracce di testo.

    CVE-ID

    CVE-2013-1024: Richard Kuo e Billy Suguitan di Triemt Corporation

  • CUPS

    Disponibile per: OS X Mountain Lion da 10.8 a 10.8.3

    Impatto: un utente locale nel gruppo lpadmin potrebbe essere in grado di leggere o scrivere file arbitrari con privilegi di sistema.

    Descrizione: si verificava un problema di escalation dei privilegi nella gestione della configurazione di CUPS tramite l'interfaccia web di CUPS. Un utente locale nel gruppo lpadmin potrebbe essere in grado di leggere o scrivere file arbitrari con privilegi di sistema. Il problema è stato risolto spostando alcune direttive di configurazione sui file cups-files.conf, che non possono essere modificati dall'interfaccia web di CUPS.

    CVE-ID

    CVE-2012-5519

  • Directory Service

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impatto: un utente malintenzionato collegato in remoto potrebbe essere in grado di eseguire codice arbitrario con privilegi di sistema su sistemi con un servizio di directory abilitato.

    Descrizione: si verificava un problema nella gestione di messaggi provenienti dalla rete da parte del server della directory. Tramite l'invio di un messaggio pericoloso, un utente malintenzionato potrebbe causare l'arresto del server della directory o l'esecuzione di codice arbitrario con privilegi di sistema. Il problema è stato risolto attraverso un migliore controllo dei limiti. Il problema non interessa i sistemi OS X Lion o OS X Mountain Lion.

    CVE-ID

    CVE-2013-0984: Nicolas Economou di Core Security

  • Disk Management

    Disponibile per: OS X Mountain Lion da 10.8 a 10.8.3

    Impatto: un utente locale potrebbe disabilitare FileVault.

    Descrizione: un utente locale che non è amministratore potrebbe disabilitare FileVault usando la riga di comando. Il problema è stato risolto attraverso un'ulteriore autenticazione.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion da 10.7 a 10.7.5, OS X Lion Server da 10.7 a 10.7.5, OS X Mountain Lion da 10.8 a 10.8.3

    Impatto: un utente malintenzionato può essere in grado di decifrare i dati protetti da SSL.

    Descrizione: si verificavano attacchi noti alla riservatezza di TLS 1.0 quando era abilitata la compressione. Il problema è stato risolto disabilitando la compressione in OpenSSL.

    CVE-ID

    CVE-2012-4929: Juliano Rizzo e Thai Duong

  • OpenSSL

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion da 10.7 a 10.7.5, OS X Lion Server da 10.7 a 10.7.5, OS X Mountain Lion da 10.8 a 10.8.3

    Impatto: più vulnerabilità in OpenSSL.

    Descrizione: OpenSSL è stato aggiornato alla versione 0.9.8x per risolvere diverse vulnerabilità, che potrebbero portare a un'interruzione del servizio o alla divulgazione di una chiave privata. Ulteriori informazioni sono disponibili tramite il sito web di OpenSSL all'indirizzo http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Disponibile per: OS X Lion da 10.7 a 10.7.5, OS X Lion Server da 10.7 a 10.7.5, OS X Mountain Lion da 10.8 a 10.8.2

    Impatto: l'apertura di un'immagine PICT pericolosa potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione delle immagini PICT. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-0975: Tobias Klein in collaborazione con Zero Day Initiative di HP

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion da 10.7 a 10.7.5, OS X Lion Server da 10.7 a 10.7.5, OS X Mountain Lion da 10.8 a 10.8.3

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione degli atom “enof”. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-0986: Tom Gallagher (Microsoft) e Paul Bates (Microsoft) in collaborazione con Zero Day Initiative di HP

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion da 10.7 a 10.7.5, OS X Lion Server da 10.7 a 10.7.5, OS X Mountain Lion da 10.8 a 10.8.3

    Impatto: la visualizzazione di un file QTIF pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file QTIF. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-0987: roob in collaborazione con iDefense VCP

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion da 10.7 a 10.7.5, OS X Lion Server da 10.7 a 10.7.5, OS X Mountain Lion da 10.8 a 10.8.3

    Impatto: la visualizzazione di un file FPX pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione dei file FPX. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-0988: G. Geshev in collaborazione con Zero Day Initiative di HP

  • QuickTime

    Disponibile per: OS X Mountain Lion da 10.8 a 10.8.3

    Impatto: la riproduzione di un file MP3 pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione dei file MP3. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-0989: G. Geshev in collaborazione con Zero Day Initiative di HP

  • Ruby

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impatto: più vulnerabilità in Ruby on Rails.

    Descrizione: si verificavano più vulnerabilità in Ruby on Rails, la più grave delle quali poteva portare all'esecuzione di codice arbitrario su sistemi con applicazioni Ruby on Rails. I problemi sono stati risolti aggiornando Ruby on Rails alla versione 2.3.18. Questo problema potrebbe interessare sistemi OS X Lion o OS X Mountain Lion su cui è stato effettuato l'upgrade da Mac OS X 10.6.8 o versioni precedenti. Su questi sistemi è possibile aggiornare le gemme interessate utilizzando l'utility /usr/bin/gem.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Disponibile per: OS X Lion da 10.7 a 10.7.5, OS X Lion Server da 10.7 a 10.7.5, OS X Mountain Lion da 10.8 a 10.8.3

    Impatto: un utente autenticato potrebbe essere in grado di scrivere file fuori dalla directory condivisa.

    Descrizione: se è abilitata la condivisione di file SMB, un utente autenticato potrebbe essere in grado di scrivere file fuori dalla directory condivisa. Il problema è stato risolto attraverso un migliore controllo degli accessi.

    CVE-ID

    CVE-2013-0990: Ward van Wanrooij

  • Nota: a partire da OS X 10.8.4, occorre effettuare l'accesso alle applicazioni Java Web Start (ad esempio JNLP) scaricate da internet con un certificato Developer ID. Gatekeeper verificherà la presenza di una firma per le applicazioni Java Web Start scaricate e bloccherà l'avvio di quelle che non sono correttamente firmate.

    È possibile utilizzare l'utility codesign per firmare il file JNLP; in questo modo si allegherà la firma del codice al file JNLP come attributi estesi. Per conservare questi attributi, occorre convertire il file JNLP in un file ZIP, XIP,o DMG. Occorre fare attenzione all'uso del formato ZIP, perché alcuni strumenti di terze parti potrebbero non acquisire gli attributi estesi richiesti in modo corretto.

    Per saperne di più consulta la Nota tecnica TN2206: Approfondimento sulla firma del codice in OS X.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: