Informazioni sui contenuti di sicurezza dell'aggiornamento di sicurezza 2009-001
In questo documento viene descritto l'aggiornamento di sicurezza 2009-001, che può essere scaricato tramite le preferenze di Aggiornamento Software o da Download Apple.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo che parla degli aggiornamenti di sicurezza Apple.
Aggiornamento di sicurezza 2009-001
AFP Server
CVE-ID: CVE-2009-0142
Disponibile per: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: un utente in grado di connettersi al server AFP potrebbe attivare un'interruzione del servizio
Descrizione: un problema di race condition nel server AFP potrebbe causare un loop infinito. L'enumerazione dei file su un server AFP potrebbe casuare un'interruzione del servizio. Questo aggiornamento risolve il problema attraverso una migliore logica di enumerazione dei file. Questo problema riguarda solo i sistemi Mac OS X 10.5.6.
Apple Pixlet Video
CVE-ID: CVE-2009-0009
Disponibile Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: l'apertura di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di corruzione della memoria nella gestione dei filmati che usano il codec Pixlet. L'apertura di un file video dannoso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Ringraziamo Apple.
CarbonCore
CVE-ID: CVE-2009-0020
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: l’apertura di un file con una resource fork pericolosa può causare la chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario
Descrizione: si verifica un problema di corruzione della memoria nella gestione delle resource fork di Resource Manager. L'apertura di un file con una resource fork pericolosa potrebbe causare la chiusura imprevista dell’applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema mediante una migliore convalida delle resource fork. Ringraziamo Apple.
CFNetwork
Disponibile per: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: ripristina il normale utilizzo dei cookie con tempi di scadenza nulli
Descrizione: questo aggiornamento risolve una regressione di non sicurezza introdotta da Max OS X 10.5.6. I cookie potrebbero non essere configurati correttamente se un sito web tenta di configurare un cookie di sessione fornendo un valore nullo nel campo della scadenza, anziché omettendo il campo. Questo aggiornamento risolve il problema ignorando il campo di scadenza se ha un valore nullo.
CFNetwork
Disponibile per: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: ripristina il normale utilizzo dei cookie di sessione nelle applicazioni
Descrizione: questo aggiornamento risolvere una regressione di non sicurezza introdotta in Mac OS X 10.5.6. CFNetwork potrebbe non salvare i cookie se diverse applicazioni aperte tentano di configurare i cookie di sessione. Questo aggiornamento risolve il problema assicurando che ogni applicazione memorizzi i suoi cookie di sessione separatamente.
Certificate Assistant
CVE-ID: CVE-2009-0011
Disponibile per: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: un utente locale potrebbe manipolare i file con i privilegi di un'altro utente che esegue Certificate Assistant
Descrizione: si verifica l'utilizzo di un file non sicuro nella gestione dei file temporanei di Certificate Assistant. Ciò potrebbe consentire a un utente locale di sovrascrivere i file con i privilegi di un altro utente che esegue Certificate Assistant. Questo aggiornamento risolve il problema attraverso una migliore gestione dei file temporanei. Il problema non interessa i sistemi meno recenti di Mac OS X 10.5. Ringraziamo Apple.
ClamAV
CVE-ID: CVE-2008-5050, CVE-2008-5314
Disponibile per: Mac OS X Server 10.4.11, Mac OS X Server 10.5.6
Impatto: diverse vulnerabilità in ClamAV 0.94
Descrizione: si verificano diverse vulnerabilità in ClamAV 0.94, la più grave delle quali potrebbe causare l'esecuzione di codice arbitrario. Questo aggiornamento risolve i problemi effettuando l'aggiornamento di ClamAV alla versione 0.94.2. ClamAV è distribuito solo con i sistemi Mac OS X Server. Ulteriori informazioni sono disponibili sul sito web di ClamAV all'indirizzo http://www.clamav.net/
CoreText
CVE-ID: CVE-2009-0012
Disponibile per: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: l'apertura di contenuti Unicode pericolosi potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: potrebbe verificarsi un overflow del buffer della memoria heap quando si elaborano stringhe Unicode in CoreText. L'uso di CoreText per gestire stringhe Unicode pericolose, come quando si apre una pagina web pericolosa, potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Questo problema non interessa i sistemi precedenti a Mac OS X 10.5. Ringraziamo Rosyna di Unsanity per aver segnalato il problema.
CUPS
CVE-ID: CVE-2008-5183
Disponibile per: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: l'apertura di un sito web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione
Descrizione: il superamento del numero massimo di sottoscrizioni RSS causa una dereferenziazione del puntatore null nell'interfaccia web CUPS. Ciò potrebbe causare la chiusura improvvisa dell'applicazione quando si visita un sito web pericoloso. Perché questo problema si verifichi, le credenziali dell'utente autorizzato devono essere conosciute dall'utente malintenzionato o memorizzate nella cache del browser web dell'utente. CUPS sarà riavviato automaticamente dopo che il problema si verifica. Questo aggiornamento risolve il problema gestendo in maniera appropriata il numero di sottoscrizioni RSS. Il problema non interessa i sistemi meno recenti di Mac OS X 10.5.
DS Tools
CVE-ID: CVE-2009-0013
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: le password fornite su dscl sono esposte ad altri utenti locali
Descrizione: lo strumento della riga di comando dscl richiedeva che le password gli venissero trasmesse negli argomenti, esponendole potenzialmente ad altri utenti locali. Tra le password esposte vi sono quelle di utenti e amministratori. Questo aggiornamento rende opzionale il parametro password e la password sarà richiesta da dscl se necessario. Ringraziamo Apple.
fetchmail
CVE-ID: CVE-2007-4565, CVE-2008-2711
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: diverse vulnerabilità in fetchmail 6.3.8
Descrizione: si verificano diverse vulnerabilità in fetchmail 6.3.8, la più grave delle quali potrebbe causare un'interruzione del servizio. Questo aggiornamento risolve i problemi effettuando l'aggiornamento alla versione 6.3.9. Ulteriori informazioni sono disponibili sul sito web di fetchmail all'indirizzo http://fetchmail.berlios.de/
Folder Manager
CVE-ID: CVE-2009-0014
Disponibile per: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: altri utenti locali potrebbero accedere alla cartella Download
Descrizione: si verifica un problema di autorizzazioni di default in Folder Manager. Quando un utente elimina la cartella Download e Folder Manager la ricrea, la cartella viene creata con autorizzazioni di lettura per tutti. Questo aggiornamento risolve il problema facendo sì che Folder Manager limiti le autorizzazioni affinché la cartella sia accessibile solo all'utente. Questo aggiornamento interessa solo le applicazioni che usano Folder Manager. Questo problema non interessa i sistemi precedenti a Mac OS X 10.5. Ringraziamo Graham Perrin di CENTRIM, University of Brighton per aver segnalato il problema.
FSEvents
CVE-ID: CVE-2009-0015
Disponibile per: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: durante l'uso del framework FSEvents, un utente locale potrebbe riuscire a vedere l'attività del filesystem che altrimenti non sarebbe disponibile
Descrizione: si verifica un problema di gestione delle credenziali in fseventsd. Durante l'uso del framework FSEvents, un utente locale potrebbe riuscire a vedere l'attività del filesystem che altrimenti non sarebbe disponibile Sono inclusi il nome di una directory che l'utente non sarebbe altrimenti in grado di vedere e la rilevazione dell'attività nella directory in un determinato momento. Questo aggiornamento risolve il problema tramite una migliore convalida delle credenziali in fseventsd. Questo problema non interessa i sistemi precedenti a Mac OS X 10.5. Ringraziamo Mark Dalrymple per aver segnalato il problema.
Network Time
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: la configurazione del servizio Network Time service è stata aggiornata
Descrizione: come misura di sicurezza proattiva, questo aggiornamento cambia la configurazione di default per il servizio Network Time. L'ora del sistema e le informazioni sulla versione non saranno più disponibili nella configurazione ntpd di default. Nei sistemi Mac OS X 10.4.11, la nuova configurazione ha effetto dopo il riavvio del sistema quando il servizio Network Time è abilitato.
perl
CVE-ID: CVE-2008-1927
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: l'uso di espressioni regolari che contengono caratteri UTF-8 può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di corruzione della memoria nella gestione di alcuni caratteri UTF-8 nelle espressioni regolari. L'analisi di espressioni regolari pericolose può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema eseguendo una convalida aggiuntiva delle espressioni regolari
Printing
CVE-ID: CVE-2009-0017
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: un utente locale potrebbe ottenere privilegi di sistema
Descrizione: si verifica un problema nella gestione degli errori in csregprinter, che può causare un overflow del buffer della memoria heap. Di conseguenza, un utente locale potrebbe ottenere privilegi di sistema. Questo aggiornamento risolve il problema attraverso una migliore gestione degli errori. Ringraziamo Lars Haulin per aver segnalato il problema.
python
CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: diverse vulnerabilità in python
Descrizione: si verifica diverse vulnerabilità in python, la più grave delle quali potrebbe causare l'esecuzione di codice arbitrario. Questo aggiornamento risolve i problemi tramite l’applicazione di patch del progetto python.
Remote Apple Events
CVE-ID: CVE-2009-0018
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: l'invio di Remote Apple Events potrebbe causare la divulgazione di informazioni sensibili
Descrizione: si verifica un problema di buffer inizializzato nel server Remote Apple Events, che potrebbe causare la divulgazione di contenuti della memoria ai client della rete. Questo aggiornamento risolve il problema attraverso una corretta inizializzazione della memoria. Ringraziamo Apple.
Remote Apple Events
CVE-ID: CVE-2009-0019
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: l'abilitazione di Remote Apple Events potrebbe causare la chiusura improvvisa dell'applicazione o la divulgazione di informazioni sensibili
Descrizione: si verifica un accesso alla memoria non nei limiti in Remote Apple Events. L'abilitazione di Remote Apple Events potrebbe causare la chiusura improvvisa dell'applicazione o la divulgazione di informazioni sensibili. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Ringraziamo Apple.
Safari RSS
CVE-ID: CVE-2009-0137
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: l'accesso a un URL feed: pericoloso potrebbe causare l'esecuzione di codice arbitrario
Descrizione: si verificano diversi problemi di convalida degli ingressi nella gestione degli URL feed: di Safari. Il problema consente l'esecuzione di JavaScript arbitrario nella zona di sicurezza locale. Questo aggiornamento risolve i problemi mediante una migliore gestione del JavaScript incorporato negli URL feed:. Ringraziamo Clint Ruoho di Laconic Security, Billy Rios di Microsoft e Brian Mastenbrook per aver segnalato questi problemi.
servermgrd
CVE-ID: CVE-2009-0138
Disponibile per: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: utenti malintenzionati remoti potrebbero riuscire ad accedere a Server Manager senza credenziali valide
Descrizione: un problema nella convalida delle credenziali di autenticazione di Server Manager potrebbe consentire a un utente malintenzionato remoto di alterare la configurazione del sistema. Questo aggiornamento risolve il problema attraverso un'ulteriore convalida delle credenziali di autenticazione. Il problema non interessa i sistemi meno recenti di Mac OS X 10.5. Ringraziamo Apple.
SMB
CVE-ID: CVE-2009-0139
Disponibile per: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: il collegamento a un file system SMB pericoloso potrebbe causare l'arresto imprevisto del sistema o l'esecuzione di codice arbitrario con privilegi di sistema
Descrizione: un overflow di numeri interi nel file system SMB potrebbe causare un overflow del buffer della memoria heap. Il collegamento a un file system SMB pericoloso potrebbe causare l'arresto imprevisto del sistema o l'esecuzione di codice arbitrario con privilegi di sistema. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Il problema non interessa i sistemi meno recenti di Mac OS X 10.5. Ringraziamo Apple.
SMB
CVE-ID: CVE-2009-0140
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: il collegamento a un server file SMB pericoloso potrebbe causare l'arresto improvviso del sistema
Descrizione: si verifica un problema di esaurimento della memoria nella gestione dei nomi del file system del File System SMB. Il collegamento a un server file SMB pericoloso potrebbe causare l'arresto improvviso del sistema. Questo aggiornamento risolve il problema limitando la quantità di memoria allocata dal client per i nomi del file system. Ringraziamo Apple.
SquirrelMail
CVE-ID: CVE-2008-2379, CVE-2008-3663
Disponibile per: Mac OS X Server 10.4.11, Mac OS X Server 10.5.6
Impatto: diverse vulnerabilità in SquirrelMail
Descrizione: SquirrelMail è stato aggiornato alla versione 1.4.17 per risolvere diverse vulnerabilità, la più grave delle quali è un problema di scripting cross-site. Ulteriori informazioni sono disponibili sul sito web di SquirrelMail alla pagina http://www.SquirrelMail.org/
X11
CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: diverse vulnerabilità nel server X11
Descrizione: si verificano diverse vulnerabilità nel server X11, la più grave delle quali potrebbe causare l'esecuzione di codice arbitrario con i privilegi dell'utente che esegue il server X11, se l'utente malintenzionato riesce ad autenticarsi sul server X11. Questo aggiornamento risolve i problemi tramite l’applicazione di patch X.Org aggiornate. Ulteriori informazioni sono disponibili sul sito web X.Org all’indirizzo http://www.x.org/wiki/Development/Security
X11
CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Impatto: diverse vulnerabilità in FreeType v2.1.4
Descrizione: si verificano diverse vulnerabilità in FreeType v2.1.4, la più grave delle quali può causare l'esecuzione di codice arbitrario quando si elabora un carattere pericoloso. Questo aggiornamento risolve il problema incorporando correzioni di sicurezza a partire dalla versione 2.3.6 di FreeType. Ulteriori informazioni sono disponibili sul sito web FreeType all’indirizzo http://www.freetype.org/ The issues are already addressed in systems running Mac OS X v10.5.6.
X11
CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Impatto: diverse vulnerabilità in LibX11
Descrizione: si verificano diverse vulnerabilità in LibX11, la più grave delle quali può causare l'esecuzione di codice arbitrario quando si elabora un carattere pericoloso. Questo aggiornamento risolve i problemi tramite l’applicazione di patch X.Org aggiornate. Ulteriori informazioni sono disponibili sul sito web X.Org all’indirizzo http://www.x.org/wiki/Development/Security These issues do not affect systems running Mac OS X v10.5 or later.
XTerm
CVE-ID: CVE-2009-0141
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impatto: un utente locale potrebbe inviare informazioni direttamente a Xterm di un altro utente
Descrizione: si verifica un problema di autorizzazioni in Xterm. Quando usato con Iuit, Xterm crea dispositivi tty accessibili da tutti. Questo aggiornamento risolve il problema facendo sì che Xterm limiti le autorizzazioni affinché i dispositivi tty siano accessibili solo all'utente.
Importante: il riferimento a siti web e prodotti di terze parti ha scopo puramente informativo e non costituisce sponsorizzazione né consiglio. Apple non si assume alcuna responsabilità in merito alla selezione, alle prestazioni o all'utilizzo di informazioni o prodotti presenti su siti web di terze parti. Apple fornisce questo tipo di informazioni solo per comodità degli utenti. Apple non ha testato le informazioni presenti su tali siti e non rilascia alcuna dichiarazione in merito alla loro esattezza e affidabilità. L'utilizzo di informazioni o prodotti trovati su internet comporta dei rischi e Apple non si assume alcuna responsabilità al riguardo. Si ricorda che i siti di terze parti sono indipendenti da Apple e che Apple non ha alcun controllo sui contenuti di tali siti web. Per ulteriori informazioni, contatta il fornitore.