Informazioni sul contenuto di sicurezza di OS X Yosemite 10.10.5 e dell'aggiornamento di sicurezza 2015-006
In questo documento viene descritto il contenuto di sicurezza di OS X Yosemite 10.10.5 e dell'aggiornamento di sicurezza 2015-006.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.
OS X Yosemite 10.10.5 e aggiornamento di sicurezza 2015-006
Apache
Disponibile per: OS X Mavericks 10.9.5 e OS X Yosemite dalla versione 10.10 alla versione 10.10.4
Impatto: sono presenti diverse vulnerabilità in Apache 2.4.16, la più grave delle quali consente a un malintenzionato collegato in remoto di causare un DoS ("Denial of Service").
Descrizione: sono presenti diverse vulnerabilità nelle versioni di Apache precedenti alla 2.4.16. Questi problemi vengono risolti con l'aggiornamento di Apache alla versione 2.4.16.
ID CVE
CVE-2014-3581
CVE-2014-3583
CVE-2014-8109
CVE-2015-0228
CVE-2015-0253
CVE-2015-3183
CVE-2015-3185
apache_mod_php
Disponibile per: OS X Mavericks 10.9.5 e OS X Yosemite dalla versione 10.10 alla versione 10.10.4
Impatto: sono presenti diverse vulnerabilità in PHP 5.5.20, la più grave delle quali può causare l'esecuzione di codice arbitrario.
Descrizione: sono presenti diverse vulnerabilità nelle versioni di PHP precedenti alla 5.5.20. Questi problemi vengono risolti con l'aggiornamento di Apache alla versione 5.5.27.
ID CVE
CVE-2015-2783
CVE-2015-2787
CVE-2015-3307
CVE-2015-3329
CVE-2015-3330
CVE-2015-4021
CVE-2015-4022
CVE-2015-4024
CVE-2015-4025
CVE-2015-4026
CVE-2015-4147
CVE-2015-4148
Plug-in OD ID Apple
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'applicazione dannosa può causare la modifica della password di un utente locale.
Descrizione: in alcuni casi si verifica un problema di gestione dello stato nella procedura di autenticazione della password. Questo problema viene risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2015-3799: un ricercatore anonimo, collaboratore della Zero Day Initiative di HP
AppleGraphicsControl
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'applicazione dannosa può determinare il layout della memoria del kernel.
Descrizione: in AppleGraphicsControl si verifica un problema che può comportare la divulgazione del layout della memoria del kernel. Questo problema viene risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-5768: JieTao Yang di KeenTeam
Bluetooth
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria in IOBluetoothHCIController. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-3779: Teddy Reed di Facebook Security
Bluetooth
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'applicazione dannosa può determinare il layout della memoria del kernel.
Descrizione: un problema di gestione della memoria può comportare la divulgazione del layout della memoria del kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-3780: Roberto Paleari e Aristide Fattori di Emaze Networks
Bluetooth
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'app dannosa può permettere l'accesso alle notifiche da altri dispositivi iCloud.
Descrizione: si verifica un problema per cui un'app dannosa consente l'accesso alle notifiche del Centro Notifiche di un dispositivo iOS o di un Mac associato con Bluetooth attraverso il servizio del Centro Notifiche Apple. Questo problema riguarda i dispositivi che utilizzano Handoff e condividono l'accesso allo stesso account iCloud. Il problema viene risolto revocando l'accesso al servizio del Centro Notifiche di Apple.
ID CVE
CVE-2015-3786: Xiaolong Bai (Tsinghua University), System Security Lab (Indiana University), Tongxin Li (Peking University), XiaoFeng Wang (Indiana University)
Bluetooth
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un malintenzionato con una posizione privilegiata sulla rete può causare un attacco Dos ("Denial of Service") tramite pacchetti Bluetooth dal formato non corretto.
Descrizione: si verifica un problema di convalida dell'input nell'analisi dei pacchetti ACL Bluetooth. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-3787: Trend Micro
Bluetooth
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un malintenzionato su una rete locale può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: nella gestione blued dei messaggi XPC si verificano diversi problemi di overflow del buffer. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-3777: mitp0sh di [PDX]
BootP
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: una rete Wi-Fi dannosa potrebbe individuare le reti da cui un dispositivo ha precedentemente effettuato l'accesso.
Descrizione: connettendosi a una rete Wi-Fi, iOS può trasmettere gli indirizzi MAC delle reti a cui è stato effettuato l'accesso precedentemente tramite il protocollo DNAv4. Questo problema viene risolto disattivando DNAv4 sulle reti Wi-Fi non crittografate.
ID CVE
CVE-2015-3778: Piers O'Hanlon dell'Oxford Internet Institute, University of Oxford (progetto EPSRC Being There)
CloudKit
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'applicazione dannosa può accedere al record iCloud di un utente che ha eseguito l'accesso in precedenza.
Descrizione: durante la disconnessione degli utenti si verifica un'incoerenza dello stato in iCloudKit. Questo problema viene risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2015-3782: Deepkanwal Plaha della University of Toronto
CoreMedia Playback
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: la visualizzazione di un file video dannoso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificano problemi di danneggiamento della memoria in CoreMedia Playback. Questi problemi vengono risolti mediante una migliore gestione della memoria.
ID CVE
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'elaborazione di un file con font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team
CoreText
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'elaborazione di un file con font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team
curl
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: sono presenti diverse vulnerabilità in cURL e libcurl precedenti alla versione 7.38.0, una delle quali consente ai malintenzionati collegati in remoto di eludere la Same Origin Policy (regola della stessa origine).
Descrizione: sono presenti diverse vulnerabilità in cURL e libcurl precedenti alla versione 7.38.0. Questi problemi vengono risolti attraverso l'aggiornamento di cURL alla versione 7.43.0.
ID CVE
CVE-2014-3613
CVE-2014-3620
CVE-2014-3707
CVE-2014-8150
CVE-2014-8151
CVE-2015-3143
CVE-2015-3144
CVE-2015-3145
CVE-2015-3148
CVE-2015-3153
Data Detectors Engine
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'elaborazione di una sequenza di caratteri unicode può condurre alla chiusura improvvisa dell'applicazione o all'esecuzione di codice arbitrario.
Descrizione: si verificano problemi di danneggiamento della memoria nell'elaborazione di caratteri Unicode. Questi problemi vengono risolti mediante una migliore gestione della memoria.
ID CVE
CVE-2015-5750: M1x7e1 del Safeye Team (www.safeye.org)
Riquadro delle preferenze Data e ora
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: le applicazioni che si basano sull'ora del sistema possono avere un comportamento imprevisto.
Descrizione: si verifica un problema di autorizzazione durante la modifica delle preferenze di data e ora nel sistema. Questo problema viene risolto attraverso ulteriori verifiche delle autorizzazioni.
ID CVE
CVE-2015-3757: Mark S C Smith
Applicazione Dizionario
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un malintenzionato con una posizione privilegiata sulla rete può intercettare le interrogazioni dell'app Dizionario dell'utente.
Descrizione: si verifica un problema nell'app Dizionario che non consente di proteggere adeguatamente le comunicazioni dell'utente. Il problema viene risolto spostando le interrogazioni di Dizionario su HTTPS.
ID CVE
CVE-2015-3774: Jeffrey Paul di EEQJ, Jan Bee del Google Security Team
DiskImages
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'elaborazione di un file DMG dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema relativo all'analisi di immagini DMG dal formato non corretto. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-3800: Frank Graziano dello Yahoo Pentest Team
dyld
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di convalida dei percorsi in dyld. Questo problema viene risolto attraverso una migliore sanitizzazione del sistema.
ID CVE
CVE-2015-3760: beist di grayhash, Stefan Esser
FontParser
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'elaborazione di un file con font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-3804: Apple
CVE-2015-5775: Apple
FontParser
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'elaborazione di un file con font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team
groff
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: sono presenti diversi problemi in pdfroff.
Descrizione: sono presenti diversi problemi in pdfroff, il più grave dei quali può consentire la modifica arbitraria del filesystem. Questi problemi vengono risolti rimuovendo pdfroff.
ID CVE
CVE-2009-5044
CVE-2009-5078
ImageIO
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'elaborazione di un'immagine TIFF dannosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione delle immagini TIFF. Questo problema viene risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-5758: Apple
ImageIO
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'accesso a un sito web dannoso può causare la divulgazione della memoria dei processi.
Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione delle immagini TIFF e PNG da parte di ImageIO. L'accesso a un sito web dannoso potrebbe causare l'invio di dati dalla memoria dei processi al sito web. Questo problema viene risolto attraverso una migliore inizializzazione della memoria e un'ulteriore convalida delle immagini TIFF e PNG.
ID CVE
CVE-2015-5781: Michal Zalewski
CVE-2015-5782: Michal Zalewski
Install Framework legacy
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi root.
Descrizione: si verifica un problema nel modo in cui vengono rimossi i privilegi dal binario "runner" di Install.framework. Questo problema viene risolto attraverso una migliore gestione dei privilegi.
ID CVE
CVE-2015-5784: Ian Beer di Google Project Zero
Install Framework legacy
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica una condizione critica nel binario "runner" di Install.framework che causa la rimozione non corretta dei privilegi. Questo problema viene risolto attraverso un migliore blocco degli oggetti.
ID CVE
CVE-2015-5754: Ian Beer di Google Project Zero
IOFireWireFamily
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificano problemi di danneggiamento della memoria in IOFireWireFamily. Questi problemi vengono risolti attraverso un'ulteriore convalida dell'input.
ID CVE
CVE-2015-3769: Ilja van Sprundel
CVE-2015-3771: Ilja van Sprundel
CVE-2015-3772: Ilja van Sprundel
IOGraphics
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: è presente un problema di danneggiamento della memoria in IOGraphics. Questo problema viene risolto attraverso un'ulteriore convalida dell'input.
ID CVE
CVE-2015-3770: Ilja van Sprundel
CVE-2015-5783: Ilja van Sprundel
IOHIDFamily
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un overflow del buffer in IOHIDFamily. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-5774: TaiG Jailbreak Team
Kernel
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'applicazione dannosa può determinare il layout della memoria del kernel.
Descrizione: si verifica un problema nell'interfaccia mach_port_space_info che può causare la divulgazione del layout della memoria del kernel. Questo problema viene risolto disabilitando l'interfaccia mach_port_space_info.
ID CVE
CVE-2015-3766: Cererdlong dell'Alibaba Mobile Security Team, @PanguTeam
Kernel
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un overflow di valori integer nella gestione delle funzioni di IOKit. Questo problema viene risolto mediante una migliore convalida degli argomenti API di IOKit.
ID CVE
CVE-2015-3768: Ilja van Sprundel
Kernel
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un utente locale può causare un DoS ("Denial of Service").
Descrizione: si verifica un problema di esaurimento delle risorse nel driver fasttrap. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-5747: Maxime VILLARD di m00nbsd
Kernel
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un utente locale può causare un DoS ("Denial of Service").
Descrizione: si verifica un problema di convalida nel montaggio dei volumi HFS. Questo problema viene risolto aggiungendo ulteriori verifiche.
ID CVE
CVE-2015-5748: Maxime VILLARD di m00nbsd
Kernel
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'applicazione dannosa può eseguire codice non firmato.
Descrizione: si verifica un problema che consente l'aggiunta di codice non firmato al codice firmato in un file eseguibile appositamente creato. Questo problema viene risolto attraverso una migliore convalida della firma del codice.
ID CVE
CVE-2015-3806: TaiG Jailbreak Team
Kernel
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un file eseguibile creato appositamente può consentire l'esecuzione di codice dannoso, non firmato.
Descrizione: si verifica un problema sulla modalità di valutazione dei file eseguibili su più architetture che può causare l'esecuzione di codice non firmato. Questo problema viene risolto mediante una migliore convalida dei file eseguibili.
ID CVE
CVE-2015-3803: TaiG Jailbreak Team
Kernel
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un utente locale può eseguire codice non firmato.
Descrizione: si verifica un problema di convalida nella gestione dei file di Mach-O. Questo problema viene risolto aggiungendo ulteriori verifiche.
ID CVE
CVE-2015-3802: TaiG Jailbreak Team
CVE-2015-3805: TaiG Jailbreak Team
Kernel
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'analisi di un plist dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione di plist dal formato non corretto. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-3776: Teddy Reed di Facebook Security, Patrick Stein (@jollyjinx) di Jinx Germany
Kernel
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di convalida dei percorsi. Questo problema viene risolto attraverso una migliore sanitizzazione del sistema.
ID CVE
CVE-2015-3761: Apple
Libc
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'elaborazione di un'espressione regolare dannosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificano problemi di danneggiamento della memoria nella libreria TRE. Questi problemi vengono risolti mediante una migliore gestione della memoria.
ID CVE
CVE-2015-3796: Ian Beer di Google Project Zero
CVE-2015-3797: Ian Beer di Google Project Zero
CVE-2015-3798: Ian Beer di Google Project Zero
Libinfo
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificano problemi di danneggiamento della memoria nella gestione dei socket AF_INET6. Questi problemi vengono risolti mediante una migliore gestione della memoria.
ID CVE
CVE-2015-5776: Apple
libpthread
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione delle chiamate di sistema. Questo problema viene risolto attraverso un migliore controllo dello stato di blocco.
ID CVE
CVE-2015-5757: Lufeng Li di Qihoo 360
libxml2
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: sono presenti diverse vulnerabilità nelle versioni di libxml2 precedenti alla 2.9.2, la più grave delle quali può permettere a un malintenzionato collegato in remoto di causare un DoS ("Denial of Service").
Descrizione: sono presenti diverse vulnerabilità nelle versioni di libxml2 precedenti alla 2.9.2. Questi problemi vengono risolti con l'aggiornamento di libxml2 alla versione 2.9.2.
ID CVE
CVE-2012-6685: Felix Groebert di Google Chrome
CVE-2014-0191: Felix Groebert di Google Chrome
libxml2
Disponibile per: OS X Mavericks 10.9.5 e OS X Yosemite dalla versione 10.10 alla versione 10.10.4
Impatto: l'analisi di un documento XML dannoso può determinare la divulgazione delle informazioni utente.
Descrizione: è presente un problema di accesso alla memoria in libxml2. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2014-3660: Felix Groebert di Google
libxml2
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'analisi di un documento XML dannoso può determinare la divulgazione delle informazioni utente.
Descrizione: è presente un problema di danneggiamento della memoria nell'analisi di file XML. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-3807: Apple
libxpc
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione di messaggi XPC dal formato non corretto. Questo problema viene risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-3795: Mathew Rowley
mail_cmds
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un utente locale può eseguire comandi shell arbitrari.
Descrizione: si verifica un problema di convalida nell'analisi mailx degli indirizzi email. Questo problema viene risolto attraverso una migliore sanitizzazione.
ID CVE
CVE-2014-7844
Centro Notifiche OSX
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un'applicazione dannosa può consentire l'accesso a tutte le notifiche precedentemente visualizzate agli utenti.
Descrizione: si verifica un problema nel Centro Notifiche, che non consente di eliminare correttamente le notifiche degli utenti. Questo problema viene risolto attraverso l'eliminazione corretta delle notifiche ignorate dagli utenti.
ID CVE
CVE-2015-3764: Jonathan Zdziarski
ntfs
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: è presente un problema di danneggiamento della memoria in NTFS. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-5763: Roberto Paleari e Aristide Fattori di Emaze Networks
OpenSSH
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: dei malintenzionati collegati in remoto possono eludere il ritardo temporale per i tentativi di login non riusciti e sferrare attacchi di tipo brute force.
Descrizione: si verifica un problema durante l'elaborazione dei dispositivi con comandi interattivi. Questo problema viene risolto attraverso una migliore convalida della richiesta di autenticazione.
ID CVE
CVE-2015-5600
OpenSSL
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: sono presenti diverse vulnerabilità nelle versioni di OpenSSL precedenti alla 0.9.8zg, la più grave delle quali può permettere a un malintenzionato collegato in remoto di causare un DoS ("Denial of Service").
Descrizione: sono presenti diverse vulnerabilità nelle versioni di OpenSSL precedenti a 0.9.8zg. Questi problemi vengono risolti aggiornando OpenSSL alla versione 0.9.8zg.
ID CVE
CVE-2015-1788
CVE-2015-1789
CVE-2015-1790
CVE-2015-1791
CVE-2015-1792
perl
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'analisi di un file dannoso può causare la divulgazione della chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di underflow di valori integer nella modalità di analisi delle espressioni regolari di Perl. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2013-7422
PostgreSQL
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un malintenzionato può causare la chiusura improvvisa dell'applicazione o ottenere l'accesso ai dati senza l'adeguata autenticazione.
Descrizione: sono presenti diversi problemi in PostgreSQL 9.2.4. Questi problemi si risolvono aggiornando PostgreSQL a 9.2.13.
ID CVE
CVE-2014-0067
CVE-2014-8161
CVE-2015-0241
CVE-2015-0242
CVE-2015-0243
CVE-2015-0244
python
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: sono presenti diverse vulnerabilità in Python 2.7.6, la più grave delle quali può causare l'esecuzione di codice arbitrario.
Descrizione: sono presenti diverse vulnerabilità nelle versioni di Python precedenti alla 2.7.6. Questi problemi vengono risolti con l'aggiornamento di Python alla versione 2.7.10.
ID CVE
CVE-2013-7040
CVE-2013-7338
CVE-2014-1912
CVE-2014-7185
CVE-2014-9365
QL Office
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'analisi di un documento Microsoft Office dannoso potrebbe causare una chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.
Descrizione: è presente un problema di danneggiamento della memoria nell'analisi dei file Microsoft Office. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-5773: Apple
QL Office
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'analisi di un file XML dannoso può determinare la divulgazione delle informazioni utente.
Descrizione: si verifica un problema di riferimento a entità esterne nell'analisi dei file XML. Questo problema viene risolto attraverso una migliore analisi.
ID CVE
CVE-2015-3784: Bruno Morisson di INTEGRITY S.A.
Framework Quartz Composer
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'analisi di un file QuickTime dannoso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: è presente un problema di danneggiamento della memoria nell'analisi dei file QuickTime. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-5771: Apple
QuickLook
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: la ricerca di un sito web visualizzato in precedenza può avviare il browser web e visualizzare quel sito web.
Descrizione: si verifica un problema per cui QuickLook consente l'esecuzione di JavaScript. Questo problema viene risolto disattivando l'esecuzione di JavaScript.
ID CVE
CVE-2015-3781: Andrew Pouliot di Facebook, Anto Loyola di Qubole
QuickTime 7
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di danneggiamento della memoria in QuickTime. Questi problemi vengono risolti mediante una migliore gestione della memoria.
ID CVE
CVE-2015-3772
CVE-2015-3779
CVE-2015-5753: Apple
CVE-2015-5779: Apple
QuickTime 7
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di danneggiamento della memoria in QuickTime. Questi problemi vengono risolti mediante una migliore gestione della memoria.
ID CVE
CVE-2015-3765: Joe Burnett di Audio Poison
CVE-2015-3788: Ryan Pentney e Richard Johnson di Cisco Talos
CVE-2015-3789: Ryan Pentney e Richard Johnson di Cisco Talos
CVE-2015-3790: Ryan Pentney e Richard Johnson di Cisco Talos
CVE-2015-3791: Ryan Pentney e Richard Johnson di Cisco Talos
CVE-2015-3792: Ryan Pentney e Richard Johnson di Cisco Talos
CVE-2015-5751: WalkerFuz
SceneKit
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: la visualizzazione di un file Collada dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer della memoria heap nella gestione dei file Collada da parte SceneKit. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-5772: Apple
SceneKit
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: è presente un problema di danneggiamento della memoria in SceneKit. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-3783: Haris Andrianakis di Google Security Team
Sicurezza
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un utente standard può ottenere l'accesso ai privilegi amministrativi senza un'adeguata autenticazione.
Descrizione: si verifica un problema di gestione dell'autenticazione dell'utente. Questo problema viene risolto attraverso migliori controlli dell'autenticazione.
ID CVE
CVE-2015-3775: [Eldon Ahrold]
SMBClient
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nel client SMB. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-3773: Ilja van Sprundel
Interfaccia utente con comandi vocali
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'analisi di una stringa Unicode dannosa con avvisi vocali attivati può determinare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione delle stringhe Unicode. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-3794: Adam Greenbaum di Refinitive
sudo
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: sono presenti diverse vulnerabilità nelle versioni di sudo precedenti a 1.7.10p9, la più grave delle quali può consentire l'accesso di un malintenzionato a file arbitrari.
Descrizione: sono presenti diverse vulnerabilità nelle versioni di sudo precedenti a 1.7.10p9. Questi problemi vengono risolti aggiornando sudo alla versione 1.7.10p9.
ID CVE
CVE-2013-1775
CVE-2013-1776
CVE-2013-2776
CVE-2013-2777
CVE-2014-0106
CVE-2014-9680
tcpdump
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: sono presenti diverse vulnerabilità in tcpdump 4.7.3, la più grave delle quali può permettere a un malintenzionato collegato in remoto di causare un DoS ("Denial of Service").
Descrizione: sono presenti diverse vulnerabilità nelle versioni di tcpdump precedenti alla 4.7.3. Questi problemi vengono risolti con l'aggiornamento di tcpdump alla versione 4.7.3.
ID CVE
CVE-2014-8767
CVE-2014-8769
CVE-2014-9140
Formati di testo
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'analisi di un file di testo dannoso può determinare la divulgazione delle informazioni utente.
Descrizione: si verifica un problema di riferimento a entità esterne XML con l'analisi TextEdit. Questo problema viene risolto attraverso una migliore analisi.
ID CVE
CVE-2015-3762: Xiaoyong Wu dell'Evernote Security Team
UDF
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4
Impatto: l'elaborazione di un file DMG dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema relativo all'analisi di immagini DMG dal formato non corretto. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-3767: beist di grayhash
In OS X Yosemite 10.10.5 sono inclusi i contenuti di sicurezza di Safari 8.0.8.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.