Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta "Come usare la chiave PGP per la sicurezza dei prodotti Apple".
Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta "Aggiornamenti di sicurezza Apple".


Xcode 4.4
- 

- 

neon

Disponibile per: OS X Lion 10.7.4 e versioni successive

Impatto: un malintenzionato potrebbe essere in grado di decodificare i dati protetti con SSL

Descrizione: esistono noti attacchi sulla riservatezza di SSL 3.0 e TLS 1.0 quando una suite di codice utilizza un codice di blocco nella modalità CBC. La libreria neon (utilizzata da Subversion) disabilita il "frammento vuoto" come contromisura per evitare questi attacchi. Il problema viene risolto abilitando la contromisura.

CVE-ID

CVE-2011-3389

 

- 

- 

Xcode

Disponibile per: OS X Lion 10.7.4 e versioni successive

Impatto: gli strumenti di supporto integrati in Xcode consentono a qualsiasi applicazione dell'App Store di leggere le voci dei propri portachiavi

Descrizione: tutti i programmi firmati contengono un requisito designato (DR) in cui si afferma, dal punto di vista dello sviluppatore del programma, quali sono i vincoli che un programma deve rispettare per essere considerato un'istanza di questo programma. Quando un ID sviluppatore viene utilizzato con Xcode per firmare un prodotto sprovvisto di identificatore bundle, come ad esempio uno strumento della riga di comando o uno strumento di supporto integrato, il DR generato per il prodotto non include l'ID sviluppatore nella parte del DR applicabile per le applicazioni firmate dall'App Store. Di conseguenza, qualsiasi applicazione dell'App Store potrebbe avere accesso agli elementi del portachiavi creati dal prodotto. Il problema viene risolto generando un DR con controlli migliori. I prodotti interessati devono essere firmati nuovamente con questa versione di Xcode al fine di includere il DR migliorato.

CVE-ID

CVE-2012-3698