Informazioni sul contenuto di Mac OS X 10.4.8 e sull'aggiornamento di sicurezza 2006-006

In questo documento vengono descritti i contenuti di sicurezza di Mac OS X 10.4.8 e dell'aggiornamento di sicurezza 2006-006, che possono essere scaricati e installati tramite le preferenze di Aggiornamento Software o da Download di Apple.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo “Come usare la chiave PGP per la sicurezza dei prodotti Apple”.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta la sezione “Aggiornamenti di sicurezza Apple”.

Mac OS X 10.4.8 e aggiornamento di sicurezza 2006-006

  • CFNetwork

    CVE-ID: CVE-2006-4390

    Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, da Mac OS X 10.4 a Mac OS X 10.4.7, da Mac OS X Server 10.4 a Mac OS X Server 10.4.7

    Impatto: i clienti CFNetwork come Safari potrebbero visualizzare i siti SSL non autenticati come autenticati

    Descrizione: le connessioni create tramite SSL sono normalmente autenticate e crittografate. Quando la crittografia viene implementata senza autenticazione, i siti pericolosi potrebbero mostrarsi come siti affidabili. Nel caso di Safari, questo potrebbe portare alla visualizzazione dell'icona del lucchetto anche quando l'identità di un sito remoto può non essere affidabile. Questo aggiornamento risolve il problema non consentendo di default le connessioni SSL anonime. Ringraziamo Adam Bryzak della Queensland University of Technology per aver segnalato questo problema.

  • Flash Player

    CVE-ID: CVE-2006-3311, CVE-2006-3587, CVE-2006-3588, CVE-2006-4640

    Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, da Mac OS X 10.4 a Mac OS X 10.4.7, da Mac OS X Server 10.4 a Mac OS X Server 10.4.7

    Impatto: la riproduzione di contenuti Flash potrebbe causare l'esecuzione di codice arbitrario

    Descrizione: Adobe Flash Player contiene vulnerabilità critiche che potrebbero causare l'esecuzione di codice arbitrario quando gestiscono contenuti pericolosi. Questo aggiornamento risolve i problemi integrando Flash Player versione 9.0.16.0 sui sitemi Mac OS X 10.3.9 e Flash Player versione 9.0.20.0 sui sistemi Mac OS X 10.4.

    Ulteriori informazioni sono disponibili sul sito web di Adobe alla pagina http://www.adobe.com/support/security/bulletins/apsb06-11.html.

  • ImageIO

    CVE-ID: CVE-2006-4391

    Disponibile per: da Mac OS X 10.4 a Mac OS X 10.4.7, da Mac OS X Server 10.4 a Mac OS X Server 10.4.7

    Impatto: la visualizzazione di un'immagine JPEG2000 pericolosa potrebbe causare il crash di un'applicazione o l'esecuzione di codice arbitrario

    Descrizione: tramite un'immagine JPEG2000 pericolosa, un utente malintenzionato potrebbe attivare un overflow del buffer che potrebbe causare il crash di un'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento tratta l'immagine eseguendo un'ulteriore convalida delle immagini JPEG2000. Questo problema non interessa i sistemi meno recenti di Mac OS X 10.4. Ringraziamo Tom Saxton di Idle Loop Software Design per aver segnalato il problema.

  • Kernel

    CVE-ID: CVE-2006-4392

    Disponibile per: da Mac OS X 10.4 a Mac OS X 10.4.7, da Mac OS X Server 10.4 a Mac OS X Server 10.4.7

    Impatto: gli utenti locali potrebbero eseguire codice arbitrario con privilegi elevati

    Descrizione: un meccanismo di gestione degli errori nel kernel, noto come porte di eccezione Mach, fornisce la capacità di controllare i programmi quando vengono rilevati determinati tipi di errore. Gli utenti locali malintenzionati potrebbero usare questo meccanismo per eseguire codice arbitrario in programmi con privilegi quando viene rilevato un errore. Questo aggiornamento risolve il problema restringendo l'accesso alle porte di eccezione Mach per i programmi con privilegi. Ringraziamo Dino Dai Zovi di Matasano Security per aver segnalato il problema.

  • LoginWindow

    CVE-ID: CVE-2006-4397

    Disponibile per: da Mac OS X 10.4 a Mac OS X 10.4.7, da Mac OS X Server 10.4 a Mac OS X Server 10.4.7

    Impatto: dopo un tentativo di accesso non riuscito a un account di rete, i ticket Kerberos potrebbero essere accessibili ad altri utenti locali

    Descrizione: a causa di una condizione di errore non controllata, i ticket Kerberos potrebbero non essere distrutti correttamente dopo un tentativo di accesso non riuscito a un account di rete tramite LoginWindow. Questo potrebbe comportare un accesso non autorizzato da parte di altri utenti locali ai ticket Kerberos dell'utente precedente. Questo aggiornamento risolve il problema cancellando la cache delle credenziali dopo l'accesso non riuscito. Questo problema non interessa i sistemi precedenti a Mac OS X 10.4. Ringraziamo Patrick Gallagher di Digital Peaks Corporation per aver segnalato il problema.

  • LoginWindow

    CVE-ID: CVE-2006-4393

    Disponibile per: da Mac OS X 10.4 a Mac OS X 10.4.7, da Mac OS X Server 10.4 a Mac OS X Server 10.4.7

    Impatto: i ticket Kerberos potrebbero essere accessibili ad altri utenti locali se il cambio utente rapido è attivato

    Descrizione: un errore nella gestione del cambio utente rapido potrebbe consentire a un utente locale di accedere ai ticket Kerberos di altri utenti locali. Il cambio utente rapido è stato aggiornato per evitare questa situazione. Questo problema non interessa i sistemi meno recenti di Mac OS X 10.4. Ringraziamo Ragnar Sundblad del Royal Institute of Technology di Stoccolma, Svezia, per aver segnalato il problema.

  • LoginWindow

    CVE-ID: CVE-2006-4394

    Disponibile per: da Mac OS X 10.4 a Mac OS X 10.4.7, da Mac OS X Server 10.4 a Mac OS X Server 10.4.7

    Impatto: gli account di rete potrebbero aggirare i controlli di accesso del servizio LoginWindow

    Descrizione: i controlli di accesso del servizio possono essere usati per restringere il numero di utenti con il permesso di accedere a un sistema tramite LoginWindow. Un errore di logica in LoginWindow consente agli account di rete senza GUID di aggirare i controlli di accesso del servizio. Questo problema interessa solo i sistenti configurati per utilizzare i controlli di accesso del servizio per LoginWindows e per consentire agli account di rete di autenticare gli utenti senza un GUID. Il problema è stato risolto con una corretta gestione dei controlli di accesso del servizio in LoginWindow. Il problema non interessa i sistemi meno recenti di Mac OS X 10.4.

  • Preferences

    CVE-ID: CVE-2006-4387

    Disponibile per: da Mac OS X 10.4 a Mac OS X 10.4.7, da Mac OS X Server 10.4 a Mac OS X Server 10.4.7

    Impatto: dopo aver rimosso i privilegi di amministratore di un account, l'account può comunque gestire le applicazioni WebObjects

    Descrizione: la deselezione della casella “L'utente può amministrare questo computer” nelle Preferenze di Sistema potrebbe non rimuovere l'account dai gruppi appserveradm o appserverusr, che consentono a un account di gestire le applicazioni WebObjects. Questo aggiornamento risolve il problema garantendo la rimozione dell'account dai gruppi appropriati. Questo problema non interessa i sistemi precedenti a Mac OS X 10.4. Ringraziamo Phillip Tejada di Fruit Bat Software per aver segnalato il problema.

  • QuickDraw Manager

    CVE-ID: CVE-2006-4395

    Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, da Mac OS X 10.4 a Mac OS X 10.4.7, da Mac OS X Server 10.4 a Mac OS X Server 10.4.7

    Impatto: l'apertura di un'immagine PICT pericolosa con determinate applicazioni potrebbe causare il crash di un'applicazione o l'esecuzione di codice arbitrario

    Descrizione: alcune applicazioni richiamano un'operazione QuickDraw non supportata per mostrare le immagini PICT. Con un'immagine PICT pericolosa, un utente malintenzionato potrebbe attivare il danneggiamento della memoria in queste applicazioni, che può causare il crash di un'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema evitando l'operazione non supportata.

  • SASL

    CVE-ID: CVE-2006-1721

    Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, da Mac OS X 10.4 a Mac OS X 10.4.7, da Mac OS X Server 10.4 a Mac OS X Server 10.4.7

    Impatto: gli utenti malintenzionati remoti potrebbero causare l'interruzione del servizio del server IMAP

    Descrizione: un problema nel supporto della negoziazione DIGEST-MD5 in Cyrus SASL può causare un errore di segmentazione nel server IMAP con un'intestazione dell'area di autenticazione pericolosa. Questo aggiornamento risolve il problema tramite una gestione migliore delle intestazioni dell'area di autenticazione nei tentativi di autenticazione.

  • WebCore

    CVE-ID: CVE-2006-3946

    Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, da Mac OS X 10.4 a Mac OS X 10.4.7, da Mac OS X Server 10.4 a Mac OS X Server 10.4.7

    Impatto: la visualizzazione di una pagina web pericolosa può causare l'esecuzione di codice arbitrario

    Descrizione: un errore di gestione della memoria nella gestione di WebKit di certi HTML potrebbe consentire a un sito web pericoloso di causare un crash o di eseguire potenzialmente codice arbitrario quando un utente visualizza il sito. Questo aggiornamento risolve il problema evitando la condizione che causa l'overflow. Ringraziamo Jens Kutilek di Netzallee, Lurene Grenier, Senior Research Engineer in Sourcefire VRT, e Jose Avila III, Security Analyst in ONZRA, per aver segnalato questo problema.

  • Workgroup Manager

    CVE-ID: CVE-2006-4399

    Disponibile per: da Mac OS X Server 10.4 a Mac OS X Server 10.4.7

    Impatto: gli account in un parent NetInfo che sembra utilizzare le password ShadowHash potrebbe comunque usare la crittografia

    Descrizione: Workgroup Manager sembra consentire il cambio del tipo di autenticazione da crittografia a password ShadowHash in un parent NetInfo, mentre in realtà non lo fa. L'aggiornamento della vista di un account in un parent NetInfo indica correttamente che la crittografia è ancora in uso. Questo aggiornamento risolve il problema impedendo agli amministratori di selezionare le password ShadowHash per gli account in un parent NetInfo. Ringraziamo Chris Pepper della Rockefeller University per aver segnalato questo problema.

Nota per l'installazione

L'aggiornamento software presenterà l'aggiornamento che si applica alla configurazione del sistema. Ne è necessario solo uno.

L'aggiornamento di sicurezza 2006-006 si installa sui sistemi Mac OS X 10.3.9 e Mac OS X Server 10.3.9.

Mac OS X v10.4.8 contiene le correzioni di sicurezza presenti nell'aggiornamento di sicurezza 2006-006 e si installa su Mac OS X 10.4 o versioni successive, nonché su sistemi Mac OS X Server 10.4 o versioni successive.

Importante: le informazioni sui prodotti non realizzati da Apple vengono fornite solo a scopo informativo e non costituiscono raccomandazione né approvazione da parte di Apple. Per ulteriori informazioni, contatta il fornitore.

Data di pubblicazione: