Informazioni sui contenuti di sicurezza dell’aggiornamento di sicurezza 2008-008/Mac OS X 10.5.6

In questo documento vengono descritti i contenuti di sicurezza dell’aggiornamento di sicurezza 2008-008/Mac OS X 10.5.6, che può essere scaricato e installato tramite le preferenze di Aggiornamento Software o da Download di Apple.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo “Come usare la chiave PGP per la sicurezza dei prodotti Apple”.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta la sezione “Aggiornamenti di sicurezza Apple”.

Aggiornamento di sicurezza 2008-008/Mac OS X 10.5.6

  • ATS

    CVE-ID: CVE-2008-4236

    Disponibile per: Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: la visualizzazione o il download di un file PDF che contiene un font pericoloso incorporato può causare l'interruzione del servizio

    Descrizione: potrebbe verificarsi un loop infinito nella gestione dei font incorporati nei file PDF da parte del server Apple Type Services. La visualizzazione o il download di un file PDF che contiene un font pericoloso incorporato può causare l'interruzione del servizio. Questo aggiornamento risolve il problema effettuando un’ulteriore convalida dei font incorporati. Questo problema non interessa i sistemi precedenti a Mac OS X 10.5. Ringraziamo Michael Samarin e Mikko Vihonen di Futurice Ltd. per aver segnalato il problema.

  • BOM

    CVE-ID: CVE-2008-4217

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: la visualizzazione o il download di un archivio CPIO pericoloso può causare l'esecuzione di codice arbitrario o la chiusura improvvisa dell'applicazione

    Descrizione: si verifica un problema di signedness nella gestione delle intestazioni CPIO di BOM che può causare un overflow del buffer di stack. La visualizzazione o il download di un archivio CPIO pericoloso può causare l'esecuzione di codice arbitrario o la chiusura improvvisa dell'applicazione. Questo aggiornamento risolve il problema eseguendo un'ulteriore convalida delle intestazioni CPIO. Ringraziamo Apple.

  • CoreGraphics

    CVE-ID: CVE-2008-3623

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: l'apertura di un'immagine pericolosa può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer della memoria heap nella gestione degli spazi colore in CoreGraphics. La visualizzazione di un di immagine dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Ringraziamo Apple.

  • CoreServices

    CVE-ID: CVE-2008-3170

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: l'apertura di un sito web pericoloso può causare la divulgazione delle credenziali dell'utente

    Descrizione: Safari consente ai siti web di configurare i cookie per domini di livello superiore specifici del Paese, che possono consentire a un malintenzionato remoto di eseguire un attacco di fissazione della sessione e compromettere le credenziali di un utente. Questo aggiornamento risolve il problema eseguendo un'ulteriore convalida dei nomi di dominio. Ringraziamo Alexander Clauss di iCab.de per aver segnalato il problema.

  • CoreTypes

    CVE-ID: CVE-2008-4234

    Disponibile per: Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: il tentativo di aprire contenuti scaricati non sicuri può causare un avviso

    Descrizione: Mac OS X fornisce la funzionalità di convalida dei download per indicare file potenzialmente non sicuri. Applicazioni come Safari e altre usano la convalida dei download per avvisare gli utenti prima che aprano file contrassegnati come potenzialmente non sicuri. Questo aggiornamento si aggiunge all'elenco dei tipi potenzialmente non sicuri. Aggiunge il tipo di contenuti per i file che hanno autorizzazioni eseguibili e nessuna associazione dell'applicazione specifica. Questi file sono potenzialmente non sicuri poiché saranno aperti in Terminale e il loro contenuto verrà eseguito come comandi. Sebbene questi file non vengano avviati automaticamente, se aperti manualmente potrebbero portare all’esecuzione di codice arbitrario. Il problema non interessa i sistemi meno recenti di Mac OS X 10.5.

  • Flash Player Plug-in

    CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: diverse vulnerabilità nel plug-in di Adobe Flash Player

    Descrizione: si verificano diversi problemi nel plug-in di Adobe Flash Player, il più grave dei quali può causare l'esecuzione di codice arbitrario quando si visualizza un sito web pericoloso. I problemi si risolvono aggiornando il plug-in di UFlash Player alla versione 9.0.151.0. Ulteriori informazioni sono disponibili sul sito web di Adobe all’indirizzo http://www.adobe.com/support/security/bulletins/apsb08-20.html

  • Kernel

    CVE-ID: CVE-2008-4218

    Disponibile per: Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: un utente locale può ottenere privilegi di sistema

    Descrizione: si verifica un overflow dei numeri interi nelle chiamate di sistema i386_set_ldt and i386_get_ldt, che può consentire a un utente locale di eseguire codice arbitrario con privilegi di sistema. Questo aggiornamento risolve i problemi migliorando il controllo dei limiti. Questi problemi non riguardano i sistemi PowerPC. Ringraziamo Richard van Eeden di IOActive, Inc. per aver segnalato questi problemi.

  • Kernel

    CVE-ID: CVE-2008-4219

    Disponibile per: Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: l'esecuzione di un eseguibile che collega librerie dinamiche su una condivisione NFS può causare un arresto imprevisto del sistema

    Descrizione: può verificarsi un loop infinito quando un programma presente su una condivisione NFS riceve un'eccezione. Ciò potrebbe causare un arresto imprevisto del sistema. Questo aggiornamento risolve il problema migliorando la gestione delle eccezioni. Ringraziamo Ben Loer della Princeton University per aver segnalato il problema.

  • Libsystem

    CVE-ID: CVE-2008-4220

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: le applicazioni che utilizzano l'API inet_net_pton potrebbero essere soggette all'esecuzione di codice arbitrario o alla chiusura improvvisa dell'applicazione

    Descrizione: si verifica un overflow dei numeri interi nell'API inet_net_pton di Libsystem, che può causare l'esecuzione di codice arbitrario o la chiusura improvvisa dell'applicazione che utilizza l'API. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. L'API non viene lanciata normalmente con dati non affidabili e non sono noti casi utilizzabili di questo problema. Questo aggiornamento è fornito per ridurre potenziali attacchi contro applicazioni che usano questa API.

  • Libsystem

    CVE-ID: CVE-2008-4221

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: le applicazioni che usano l'API strptime possono essere soggette all'esecuzione di codice arbitrario o alla chiusura improvvisa dell'applicazione

    Descrizione: si verifica un problema di corruzione della memoria nell'API strptime di Libsystem. L'analisi di una stringa di dati pericolosa può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando l'allocazione della memoria. Ringraziamo Apple.

  • Libsystem

    CVE-ID: CVE-2008-1391

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: le applicazioni che usano l'API strfmon possono essere soggette all'esecuzione di codice arbitrario o alla chiusura improvvisa dell'applicazione

    Descrizione: si verificano diversi overflow dei numeri interi nell'implementazione strfmon di Libsystem. Un'applicazione che chiama strfmon con grandi valori di alcuni campi di numeri interi nell'argomento della stringa del formato può chiudersi improvvisamente o causare l'esecuzione di codice arbitrario. Questo aggiornamento risolve i problemi migliorando il controllo dei limiti.

  • Managed Client

    CVE-ID: CVE-2008-4237

    Disponibile per: Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: le impostazioni del salvaschermo gestito non vengono applicate

    Descrizione: il metodo mediante il quale il software su un sistema client gestito installa le informazioni di configurazione per host non identifica sempre correttamente il sistema. Su un sistema identificato in maniera errata, le impostazioni per host non vengono applicate, incluso il blocco del salvaschermo. Questo aggiornamento risolve il problema imponendo a Managed Client di usare l'identificazione del sistema corretta. Questo problema non interessa i sistemi con Ethernet integrato. Ringraziamo John Barnes di ESRI e Trevor Lalish-Menagh di Tamman Technologies, Inc. per aver segnalato questo problema.

  • network_cmds

    CVE-ID: CVE-2008-4222

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: un utente malintenzionato può causare un'interruzione del servizio se la funzione Condivisione Internet è abilitata

    Descrizione: può verificarsi un loop infinito nella gestione dei pacchetti TCP in natd. Inviando un pacchetto TCP pericoloso, un utente malintenzionato può causare un'interruzione del servizio se la funzione Condivisione Internet è abilitata. Questo aggiornamento risolve il problema eseguendo un’ulteriore convalida dei pacchetti TCP. Ringraziamo Alex Rosenberg di Ohmantics e Gary Teter di Paizo Publishing per aver segnalato il problema.

  • Podcast Producer

    CVE-ID: CVE-2008-4223

    Disponibile per: Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: un utente malintenzionato remoto può accedere alle funzioni amministrative di Podcast Producer

    Descrizione: si verifica un problema di bypass dell'autenticazione nel server Podcast Producer, che può consentire a un utente non autorizzato di accedere a funzioni amministrative nel server. Questo aggiornamento risolve il problema attraverso una migliore gestione degli accessi. Podcast Producer è stato introdotto in Mac OS X Server 10.5.

  • UDF

    CVE-ID: CVE-2008-4224

    Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X dalla versione 10.5 alla versione 10.5.5, Mac OS X Server dalla versione 10.5 alla versione 10.5.5

    Impatto: l'apertura di un file ISO può causare un arresto del sistema imprevisto

    Descrizione: si verifica un problema di convalida degli ingressi nella gestione dei volumi UDF malformati. Impatto: l’apertura di un filo ISO pericoloso può causare un arresto imprevisto del sistema. Questo aggiornamento risolve il problema attraverso una migliore convalida degli ingressi. Ringraziamo Mauro Notarianni di PCAX Solutions per aver segnalato questo problema.

Importante: il riferimento a siti web e prodotti di terze parti ha scopo puramente informativo e non costituisce sponsorizzazione né consiglio. Apple non si assume alcuna responsabilità in merito alla selezione, alle prestazioni o all'utilizzo di informazioni o prodotti presenti su siti web di terze parti. Apple fornisce questo tipo di informazioni solo per comodità degli utenti. Apple non ha testato le informazioni presenti su tali siti e non rilascia alcuna dichiarazione in merito alla loro esattezza e affidabilità. L'utilizzo di informazioni o prodotti trovati su internet comporta dei rischi e Apple non si assume alcuna responsabilità al riguardo. Si ricorda che i siti di terze parti sono indipendenti da Apple e che Apple non ha alcun controllo sui contenuti di tali siti web. Per ulteriori informazioni, contatta il fornitore.

Data di pubblicazione: