Informazioni sull'aggiornamento di sicurezza 2014-005

In questo documento vengono descritti i contenuti di sicurezza dell'aggiornamento di sicurezza 2014-005.

Questo aggiornamento può essere scaricato e installato tramite Aggiornamento Software oppure dal sito web del supporto Apple.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.

Aggiornamento di sicurezza 2014-005

• Secure Transport

  Disponibile per: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

  Impatto: un utente malintenzionato può essere in grado di decifrare i dati protetti da SSL

  Descrizione: si verificano attacchi noti alla riservatezza di SSL 3.0 quando una suite di cifratura usa una crittografia a blocchi in modalità CBC. Un utente malintenzionato può forzare l'uso di SSL 3.0, anche quando il server supporta una versione migliore di TLS, bloccando TLS 1.0 e i tentativi di connessione superiore. Il problema è stato risolto disattivando le suite di cifratura CBC quando i tentativi di connessione TLS non riescono.

  CVE-ID

  CVE-2014-3566 : Bodo Moeller, Thai Duong e Krzysztof Kotowicz di Google Security Team

Nota: l'aggiornamento di sicurezza 2014-005 include i contenuti di sicurezza dell'aggiornamento 1.0 di bash per OS X