Informazioni sull’aggiornamento di sicurezza 2008-005

Questo documento descrive l’aggiornamento di sicurezza 2008-005, che può essere scaricato e installato dalle preferenze di Aggiornamento Software o tramite Download di Apple.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo “Come usare la chiave PGP per la sicurezza dei prodotti Apple”.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta la sezione “Aggiornamenti di sicurezza Apple”.

Aggiornamento di sicurezza 2008-005

  • Open Scripting Architecture

    CVE-ID: CVE-2008-2830

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Impatto: un utente locale può eseguire comandi con privilegi elevati

    Descrizione: si verifica un problema di progettazione nelle librerie Open Scripting Architecture nel momento in cui si stabilisce se caricare plugin aggiuntivi di scripting nelle applicazioni eseguite con privilegi elevati. L'invio di comandi aggiuntivi di scripting a un'applicazione privilegiata può consentire l'esecuzione di codice arbitrario con quei privilegi. Questo aggiornamento risolve il problema non caricando plugin aggiuntivi di scripting nelle applicazioni eseguiti con privilegi di sistema. Questo aggiornamento risolve i problemi ARDAgent e SecurityAgent segnalati di recente. Ringraziamo Charles Srstka per aver segnalato il problema.

  • BIND

    CVE-ID: CVE-2008-1447

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Impatto: BIND è soggetto ad attacchi di tipo DNS cache poisoning e può restituire informazioni contraffatte

    Descrizione: il server Berkeley Internet Name Domain (BIND) è distribuito con Mac OS X e non è abilitato di default. Quando abilitato, il server BIND fornisce la traduzione tra i nomi host e gli indirizzi IP. Un punto debole nel protocollo DNS potrebbe consentire a utenti malintenzionati in remoto di effettuare attacchi di tipo DNS cache poisoning. Di conseguenza, i sistemi che fanno affidamento sul server BIND per il DNS potrebbero ricevere informazioni contraffatte. Questo aggiornamento risolve il problema implementando la randomizzazione della porta sorgente e migliorando la resilienza contro gli attacchi di tipo cache poisoining. Per i sistemi Mac OS X 10.4.11, BIND è aggiornato alla versione 9.3.5-P1. Per i sistemi Mac OS X 10.5.4, BIND è aggiornato alla versione 9.4.2-P1. Ringraziamo Dan Kaminsky di IOActive per aver segnalato il problema.

  • CarbonCore

    CVE-ID: CVE-2008-7259

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Impatto: l'elaborazione di nomi file lunghi può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer basato su stack nella gestione di nomi file lunghi. L'elaborazione di nomi file lunghi può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Ringraziamo Thomas Raffetseder dell'International Secure Systems Lab e Sergio 'shadown' Alvarez di n.runs AG per aver segnalato il problema.

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Impatto: l'accesso a un sito web dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: CoreGraphics contiene problemi di danneggiamento della memoria nell'elaborazione di argomenti. La trasmissione di input inaffidabili a CoreGraphics mediante un'applicazione, come un web browser, può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Ringraziamo Michal Zalewski di Google per aver segnalato il problema.

  • CoreGraphics

    CVE-ID: CVE-2008-2322

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Impact: l'apertura di un file PDF pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: un overflow di numeri interi nella gestione dei file PDF può causare un overflow del buffer della memoria heap. La visualizzazione di un file PDF pericoloso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema attraverso un'ulteriore convalida dei file PDF. Ringraziamo Pariente Kobi in collaborazione con iDefense VCP per aver segnalato il problema.

  • Data Detectors Engine

    CVE-ID: CVE-2008-2323

    Disponibile per: Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Impatto: l'apertura di messaggi pericolosi con i rilevatori dati può causare la chiusura improvvisa dell'applicazione

    Descrizione: i rilevatori dati sono usati per estrarre informazioni di riferimento da contenuti testuali o archivi. Un problema di consumo di risorse sussiste nella gestione dei contenuti testuali da parte dei rilevatori dati. L'apertura di contenuti pericolosi in un'applicazione che usa i rilevatori dati può causare l'interruzione del servizio, ma non l'esecuzione di codice arbitrario. Il problema non interessa i sistemi meno recenti di Mac OS X 10.5.

  • Disk Utility

    CVE-ID: CVE-2008-2324

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Impatto: un utente locale può ottenere privilegi di sistema

    Descrizione: la riparazione dei permessi in Utility Disco esegue /usr/bin/emacs setuid. Dopo che viene eseguita la riparazione dei permessi, un utente locale può usare emacs per eseguire comandi con privilegi di sistema. Questo aggiornamento risolve il problema correggendo i permessi applicati a emacs nella riparazione dei permessi. Questo problema non interessa i sistemi con Mac OS X 10.5 o versioni successive. Ringraziamo Anton Rang e Brian Timares per aver segnalato il problema.

  • OpenLDAP

    CVE-ID: CVE-2008-2952

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Impatto: un utente malintenzionato può riuscire a causare la chiusura improvvisa dell'applicazione

    Descrizione: si verifica un problema nella decodifica ASN.1 BER di OpenLDAP. L'elaborazione di un messaggio LDAP pericoloso può attivare un'asserzione e portare alla chiusura improvvisa dell'applicazione del daemon OpenLDAP, slapd. Questo aggiornamento risolve il problema eseguendo un’ulteriore convalida dei messaggi LDAP.

  • OpenSSL

    CVE-ID: CVE-2007-5135

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Impatto: un utente malintenzionato in remoto può riuscire a causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un problema di controllo dell'intervallo nella funzione dell'utility SSL_get_shared_ciphers() in OpenSSL. In un'applicazione che utilizza questa funzione, l’elaborazione di pacchetti pericolosi può causare una chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti.

  • PHP

    CVE-ID: CVE-2008-2051, CVE-2008-2050, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

    Disponibile per: Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Impatto: diverse vulnerabilità in PHP 5.2.5

    Descrizione: PHP è aggiornato alla versione 5.2.6 per risolvere diverse vulnerabilità, la più grave delle quali può causare l’esecuzione di codice arbitrario. Ulteriori informazioni sono disponibili tramite il sito web PHP all'indirizzo http://www.php.net/ La versione 5.2.x di PHP è fornita solo con i sistemi Mac OS X 10.5.

  • QuickLook

    CVE-ID: CVE-2008-2325

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Impatto: il download di un file Microsoft Office pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verificano diversi problemi di corruzione della memoria nella gestione di QuickLook dei file Microsoft Office. Il download di un file Microsoft Office pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Il problema non interessa i sistemi meno recenti di Mac OS X 10.5.

  • rsync

    CVE-ID: CVE-2007-6199, CVE-2007-6200

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Impatto: è possibile accedere da remoto ai file esterni al root modulo o sovrascriverli

    Descrizione: si verificano problemi di convalida del percorso nella gestione dei link simbolici durante la modalità daemon. L'inserimento di link simbolici in un modulo rsync può consentire l'accesso a file esterni al root modulo o la loro sovrascrittura. Questo aggiornamento risolve il problema attraverso una migliore gestione dei link simbolici. Ulteriori informazioni sulle patch applicate sono disponibili tramite il sito web rsync all'indirizzo http://rsync.samba.org/

Importante: il riferimento a siti web e prodotti di terze parti ha scopo puramente informativo e non costituisce sponsorizzazione né consiglio. Apple non si assume alcuna responsabilità in relazione alla selezione, alle prestazioni o all'utilizzo di informazioni o prodotti trovati su siti web di terze parti. Apple fornisce questo tipo di informazioni solo per comodità degli utenti. Apple non ha testato le informazioni che si trovano su tali siti e non ne rappresenta in alcun modo l'esattezza e l'affidabilità. Esistono rischi connessi all'utilizzo di informazioni o prodotti trovati su internet e Apple non si assume alcuna responsabilità al riguardo. Ricordiamo che i siti di terze parti sono indipendenti da Apple e che Apple non ha alcun controllo sui contenuti di tali siti web. Per ulteriori informazioni, contatta il fornitore.

Data di pubblicazione: