Informazioni sui contenuti di sicurezza di Mountain Lion 10.8.3 e sull'aggiornamento di sicurezza 2013-001

In questo documento vengono descritti i contenuti di sicurezza di OS X Mountain Lion 10.8.3 e l'aggiornamento di sicurezza 2013-001.

È possibile scaricare e installare OS X Mountain Lion 10.8.3 e l'aggiornamento di sicurezza 2013-001 tramite le preferenze Aggiornamento Software o dalla pagina Download di Apple.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple".

Nota: OS X Mountain Lion 10.8.3 include il contenuto di Safari 6.0.3. Per ulteriori informazioni consulta l'articolo Informazioni sui contenuti di sicurezza di Safari 6.0.3.

OS X Mountain Lion 10.8.3 e aggiornamento di sicurezza 2013-001

  • Apache

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2

    Impatto: un malintenzionato può accedere alle directory protette mediante autenticazione HTTP pur non conoscendo le credenziali corrette.

    Descrizione: si verifica un problema di canonicalizzazione nella gestione degli URI con sequenze di caratteri Unicode ignorabili. Questo problema viene risolto aggiornando mod_hfs_apple in modo da impedire l'accesso agli URI con sequenze di caratteri Unicode ignorabili.

    ID CVE

    CVE-2013-0966: Clint Ruoho di Laconic Security

  • CoreTypes

    Disponibile per: OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2

    Impatto: l'accesso a un sito web pericoloso può determinare l'avvio automatico di un'applicazione Java Web Start anche se il plugin Java è disattivato.

    Descrizione: l'esecuzione delle applicazioni Java Web Start è possibile anche se il plugin Java è disattivato. Questo problema viene risolto rimuovendo i file JNLP dall'elenco dei tipi di file CoreTypes sicuri, in modo da impedire l'esecuzione delle applicazioni Web Start, a meno che queste non vengano avviate dall'utente nella directory dei download.

    ID CVE

    CVE-2013-0967

  • ICU (International Components for Unicode)

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2

    Impatto: l'accesso a un sito web pericoloso può causare un attacco tramite script da altri siti.

    Descrizione: si verifica un problema di canonicalizzazione nella gestione della codifica EUC-JP, che può causare un attacco di scripting cross-site nei siti web con codifica EUC-JP. Questo problema viene risolto aggiornando la tabella di mapping EUC-JP.

    ID CVE

    CVE-2011-3058: Masato Kinugawa

  • Servizi di identità

    Disponibile per: OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2

    Impatto: l'autenticazione basata su ID Apple con certificato può essere ignorata.

    Descrizione: si verifica un problema di gestione degli errori in Servizi di identità. Se l'operazione di convalida del certificato associato all'ID Apple dell'utente non riesce, l'ID Apple viene considerato una stringa vuota. Se questa situazione si verifica in più sistemi appartenenti a utenti diversi, le applicazioni che si servono della determinazione di questa identità possono erroneamente estendere l'affidabilità. Questo problema viene risolto assicurando la restituzione del valore NULL invece di una stringa vuota.

    ID CVE

    CVE-2013-0963

  • ImageIO

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2

    Impatto: la visualizzazione di un file TIFF pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer nella gestione delle immagini TIFF da parte della libreria libtiff. Questo problema viene risolto attraverso un'ulteriore convalida delle immagini TIFF.

    ID CVE

    CVE-2012-2088

  • IOAcceleratorFamily

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.2

    Impatto: la visualizzazione di un'immagine pericolosa può causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei dati grafici. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2013-0976: un ricercatore anonimo

  • Kernel

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.2

    Impatto: le applicazioni dannose o compromesse possono riuscire a rilevare gli indirizzi nel kernel.

    Descrizione: si verifica un problema di gestione delle API collegate alle estensioni del kernel che causa la divulgazione di informazioni. Le risposte contenenti un codice OSBundleMachOHeaders possono includere indirizzi kernel in grado di ignorare la protezione ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi). Questo problema viene risolto sbloccando gli indirizzi prima della loro restituzione.

    ID CVE

    CVE-2012-3749: Mark Dowd di Azimuth Security, Eric Monti di Square e altri ricercatori anonimi

  • Finestra di login

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.2

    Impatto: un malintenzionato con accesso alla tastiera può modificare la configurazione di sistema.

    Descrizione: si verifica un errore logico nella gestione della finestra di login da parte di VoiceOver, per cui un malintenzionato con accesso alla tastiera può avviare Preferenze di Sistema e modificare la configurazione di sistema. Questo problema viene risolto impedendo a VoiceOver di avviare applicazioni dalla finestra di login.

    ID CVE

    CVE-2013-0969: Eric A. Schulman di Purpletree Labs

  • Messaggi

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.2

    Impatto: una chiamata FaceTime senza alcuna richiesta di conferma può essere avviata facendo clic su un link da Messaggi.

    Descrizione: se in Messaggi viene fatto clic su un URL FaceTime:// con una specifica formattazione, la richiesta di conferma standard può essere ignorata. Questo problema viene risolto attraverso un'ulteriore convalida degli URL FaceTime://.

    ID CVE

    CVE-2013-0970: Aaron Sigel di vtty.com

  • Server dei messaggi

    Disponibile per: Mac OS X Server 10.6.8, OS X Lion Server dalla versione 10.7 alla 10.7.5

    Impatto: un malintenzionato collegato in remoto può deviare i messaggi Jabber federativi.

    Descrizione: si verifica un problema nella gestione del server Jabber dei messaggi ottenuti da dialback. Un malintenzionato può fare in modo che il server Jabber divulghi informazioni destinate a utenti di server federativi. Questo problema viene risolto migliorando la gestione dei messaggi ottenuti da dialback.

    ID CVE

    CVE-2012-3525

  • PDFKit

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2

    Impatto: la visualizzazione di un file PDF pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di tipo use-after-free nella gestione delle annotazioni a penna nei file PDF. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2013-0971: Tobias Klein, collaboratore della Zero Day Initiative di HP TippingPoint

  • Server Podcast Producer

    Disponibile per: Mac OS X Server 10.6.8, OS X Lion Server dalla versione 10.7 alla 10.7.5

    Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un errore di casting di tipo nella gestione dei parametri XML da parte di Ruby on Rails. Questo problema viene risolto disattivando i parametri XML nell'implementazione di Rails utilizzata dal server Podcast Producer.

    ID CVE

    CVE-2013-0156

  • Server Podcast Producer

    Disponibile per: OS X Lion Server dalla versione 10.7 alla 10.7.5

    Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un errore di casting di tipo nella gestione dei dati JSON da parte di Ruby on Rails. Questo problema viene risolto utilizzando il backend JSONGem per l'analisi JSON nell'implementazione di Rails utilizzata dal server Podcast Producer.

    ID CVE

    CVE-2013-0333

  • PostgreSQL

    Disponibile per: Mac OS X Server 10.6.8, OS X Lion Server dalla versione 10.7 alla 10.7.5

    Impatto: sono presenti diverse vulnerabilità in PostgreSQL.

    Descrizione: PostgreSQL viene aggiornato alla versione 9.1.5 per risolvere diverse vulnerabilità, la più grave delle quali consente agli utenti del database di leggere i file dal file system con i privilegi dell'account del server del database. Ulteriori informazioni sono disponibili sul sito web di PostgreSQL all'indirizzo http://www.postgresql.org/docs/9.1/static/release-9-1-5.html.

    ID CVE

    CVE-2012-3488

    CVE-2012-3489

  • Gestore profilo

    Disponibile per: OS X Lion Server dalla versione 10.7 alla 10.7.5

    Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un errore di casting di tipo nella gestione dei parametri XML da parte di Ruby on Rails. Questo problema viene risolto disattivando i parametri XML nell'implementazione di Rails utilizzata da Gestore profilo.

    ID CVE

    CVE-2013-0156

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2

    Impatto: la visualizzazione di un file video pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer nella gestione delle caselle 'rnet' nei file MP4. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2012-3756: Kevin Szkudlapski di QuarksLab

  • Ruby

    Disponibile per: Mac OS X Server 10.6.8

    Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario se è in esecuzione un'applicazione Rails.

    Descrizione: si verifica un errore di casting di tipo nella gestione dei parametri XML da parte di Ruby on Rails. Questo problema viene risolto disattivando YAML e i simboli nei parametri XML in Rails.

    ID CVE

    CVE-2013-0156

  • Sicurezza

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2

    Impatto: un malintenzionato con una posizione privilegiata sulla rete può intercettare le credenziali dell'utente o altre informazioni riservate.

    Descrizione: diversi certificati CA intermedi vengono erroneamente emessi da TURKTRUST. Ciò consente a un malintenzionato di portare a termine attacchi man-in-the-middle reindirizzando le connessioni e intercettando le credenziali utente o altre informazioni riservate. Questo problema viene risolto negando le autorizzazioni ai certificati SSL non corretti.

  • Aggiornamento Software

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5

    Impatto: un malintenzionato con una posizione privilegiata sulla rete può causare l'esecuzione di codice arbitrario.

    Descrizione: Aggiornamento Software consente nell'ambito di un attacco man-in-the-middle di inserire i contenuti di un plugin all'interno del testo di marketing visualizzato per gli aggiornamenti. Ciò può causare l'utilizzo di plugin vulnerabili o facilitare gli attacchi di ingegneria sociale basati sull'uso di plugin. Questo problema non interessa i sistemi OS X Mountain Lion e viene risolto impedendo il caricamento di plugin nella WebView dei testi di marketing di Aggiornamento Software.

    ID CVE

    CVE-2013-0973: Emilio Escobar

  • Server Wiki

    Disponibile per: OS X Lion Server dalla versione 10.7 alla 10.7.5

    Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un errore di casting di tipo nella gestione dei parametri XML da parte di Ruby on Rails. Questo problema viene risolto disattivando i parametri XML nell'implementazione di Rails utilizzata da Server Wiki.

    ID CVE

    CVE-2013-0156

  • Server Wiki

    Disponibile per: OS X Lion Server dalla versione 10.7 alla 10.7.5

    Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un errore di casting di tipo nella gestione dei dati JSON da parte di Ruby on Rails. Questo problema viene risolto utilizzando il backend JSONGem per l'analisi JSON nell'implementazione di Rails utilizzata da Server Wiki.

    ID CVE

    CVE-2013-0333

  • Rimozione di malware

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2

    Descrizione: questo aggiornamento esegue uno strumento di rimozione del malware che ne rimuove le varianti più comuni. Nel caso in cui venga rilevato malware, viene visualizzata una finestra di dialogo che comunica all'utente l'avvenuta rimozione del malware. L'utente non visualizzerà alcun messaggio se il malware non verrà individuato.

 

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Ultima modifica:
Utile?

Informazioni aggiuntive di supporto al prodotto

Italia (Italiano)