Informazioni sul contenuto di sicurezza di OS X Mavericks 10.9.5 e sull'aggiornamento di sicurezza 2014-004
In questo documento viene descritto il contenuto di sicurezza di OS X Mavericks 10.9.5 e dell'aggiornamento di sicurezza 2014-004.
Questo aggiornamento può essere scaricato e installato tramite Aggiornamento Software oppure dal sito web del supporto Apple.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.
Nota: OS X Mavericks 10.9.5 include il contenuto di sicurezza di Safari 7.0.6.
OS X Mavericks 10.9.5 e aggiornamento di sicurezza 2014-004
apache_mod_php
Disponibile per: OS X Mavericks da 10.9 a 10.9.4
Impatto: più vulnerabilità in PHP 5.4.24.
Descrizione: si verificavano più vulnerabilità in PHP 5.4.24, la più grave delle quali poteva portare all'esecuzione di codice arbitrario. Questo aggiornamento risolve i problemi aggiornando PHP alla versione 5.4.30.
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Disponibile per: OS X Mavericks da 10.9 a 10.9.4
Impatto: un'applicazione dannosa può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di convalida nella gestione di una chiamata API Bluetooth. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4390: Ian Beer di Google Project Zero
CoreGraphics
Disponibile per: OS X Mavericks da 10.9 a 10.9.4
Impatto: l'apertura di un file PDF dannoso potrebbe causare una chiusura improvvisa dell'applicazione o la divulgazione di informazioni.
Descrizione: si è verificato un problema di lettura della memoria fuori dai limiti nella gestione dei file PDF. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano di Binamuse VRT in collaborazione con iSIGHT Partners GVP Program
CoreGraphics
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4
Impatto: l'apertura di un file PDF dannoso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow di numeri interi nella gestione dei file PDF. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4377 : Felipe Andres Manzano di Binamuse VRT in collaborazione con iSIGHT Partners GVP Program
Foundation
Disponibile per: OS X Mavericks da 10.9 a 10.9.4
Impatto: un'applicazione che utilizza NSXMLParser può essere usata in modo scorretto per divulgare le informazioni.
Descrizione: si verificava un problema di entità XML esterne nella gestione dei contenuti XML da parte di NSXMLParser. Il problema è stato risolto non caricando entità esterne tra le origini.
CVE-ID
CVE-2014-4374: George Gal di VSR (http://www.vsecurity.com/)
Intel Graphics Driver
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4
Impatto: la compilazione degli shader GLSL non attendibili può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer dello spazio utente nel compilatore di shader. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4393: Apple
Intel Graphics Driver
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4
Impatto: un'applicazione dannosa può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificavano diversi problemi di convalida in alcune routine integrate collegate ai driver della scheda grafica. che sono stati risolti attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4394: Ian Beer di Google Project Zero
CVE-2014-4395: Ian Beer di Google Project Zero
CVE-2014-4396: Ian Beer di Google Project Zero
CVE-2014-4397: Ian Beer di Google Project Zero
CVE-2014-4398: Ian Beer di Google Project Zero
CVE-2014-4399: Ian Beer di Google Project Zero
CVE-2014-4400: Ian Beer di Google Project Zero
CVE-2014-4401: Ian Beer di Google Project Zero
CVE-2014-4416: Ian Beer di Google Project Zero
IOAcceleratorFamily
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4
Impatto: un'applicazione dannosa può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava una dereferenziazione del puntatore null nella gestione degli argomenti dell'API con IOKit. Questo problema è stato risolto mediante una migliore convalida degli argomenti API con IOKit.
CVE-ID
CVE-2014-4376: Ian Beer di Google Project Zero
IOAcceleratorFamily
Disponibile per: OS X Mavericks da 10.9 a 10.9.4
Impatto: un'applicazione dannosa può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di lettura non nei limiti nella gestione di una funzione IOAcceleratorFamily. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4402: Ian Beer di Google Project Zero
IOHIDFamily
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4
Impatto: un utente locale può leggere i puntatori del kernel, che possono essere utilizzati per aggirare la randomizzazione del layout dello spazio degli indirizzi del kernel.
Descrizione: si verificava un problema di lettura non nei limiti nella gestione di una funzione IOHIDFamily. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4379: Ian Beer di Google Project Zero
IOKit
Disponibile per OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4
Impatto: un'applicazione dannosa può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di convalida nella gestione di alcuni campi metadati di oggetti IODataQueue. Il problema è stato risolto attraverso una migliore convalida dei metadati.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un overflow di numeri interi nella gestione delle funzioni di IOKit. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4389 : Ian Beer di Google Project Zero
Kernel
Disponibile per: OS X Mavericks da 10.9 a 10.9.4
Impatto: un utente locale può desumere gli indirizzi kernel e oltrepassare la funzione Address Space Layout Randomization (ASLR) del kernel.
Descrizione: in alcuni casi la tabella dei descrittori globale della CPU veniva allocata a un indirizzo prevedibile. Questo problema viene risolto mediante l'allocazione della tabella dei descrittori globale a indirizzi casuali.
CVE-ID
CVE-2014-4403: Ian Beer di Google Project Zero
Libnotify
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4
Impatto: un'applicazione dannosa può essere in grado di eseguire codice arbitrario con privilegi root.
Descrizione: si verificava un problema di scrittura non nei limiti in Libnotify. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4381: Ian Beer di Google Project Zero
OpenSSL
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4
Impatto: più vulnerabilità in OpenSSL 0.9.8y, una delle quali può comportare l'esecuzione di codice arbitrario.
Descrizione: si verificavano più vulnerabilità in OpenSSL 0.9.8y. Questo problema viene risolto mediante l'aggiornamento di OpenSSL alla versione 0.9.8za.
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4
Impatto: la riproduzione di un filmato pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei filmati con codifica RLE. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1391: Fernando Munoz in collaborazione con iDefense VCP, Tom Gallagher e Paul Bates in collaborazione con Zero Day Initiative di HP
QT Media Foundation
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4
Impatto: la riproduzione di un file MIDI dannoso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer nella gestione dei file MIDI. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4350: s3tm3m in collaborazione con Zero Day Initiative di HP
QT Media Foundation
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4
Impatto: la riproduzione di un filmato pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione degli atom “mvhd”. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4979: Andrea Micalizzi aKa rgod in collaborazione con Zero Day Initiative di HP
ruby
Disponibile per: OS X Mavericks da 10.9 a 10.9.4
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer di heap nella gestione dei caratteri codificati con percentuale in un URI da parte di LibYAML. Il problema è stato risolto attraverso un migliore controllo dei limiti. Questi problemi sono stati risolti aggiornando LibYAML alla versione 0.1.6.
CVE-ID
CVE-2014-2525
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.