Informazioni sul contenuto di sicurezza di OS X Mountain Lion 10.8.4 e sull'aggiornamento di sicurezza 2013-002

In questo documento viene descritto il contenuto di sicurezza di OS X Lion 10.8.4 e l'aggiornamento di sicurezza 2013-002, che può essere scaricato e installato tramite le preferenze di Aggiornamento Software o dalla pagina dei download di Apple.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo "Aggiornamenti di sicurezza Apple".
 

OS X Mountain Lion 10.8.4 e aggiornamento di sicurezza 2013-002

Nota: OS X Mountain Lion 10.8.4 include il contenuto di Safari 6.0.5. Per ulteriori informazioni consulta l'articolo Informazioni sul contenuto di sicurezza di Safari 6.0.5.

  • CFNetwork

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: un malintenzionato con accesso alla sessione di un utente può accedere ai siti precedentemente visitati, anche nel caso in cui sia stata utilizzata la modalità Navigazione privata.

    Descrizione: i cookie permanenti vengono salvati dopo aver chiuso Safari, anche se è stata attivata la modalità Navigazione privata. Questo problema viene risolto attraverso una gestione migliore dei cookie.

    CVE-ID

    CVE-2013-0982: Alexander Traud di www.traud.de

  • CoreAnimation

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: l'accesso a un sito web dannoso può comportare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: la gestione delle parti di testo presenta un problema di allocazione dello stack illimitato. Questo può dipendere dall'accesso a un URL dannoso su Safari. Il problema viene risolto attraverso un controllo migliore dei limiti.

    CVE-ID

    CVE-2013-0983: David Fifield di Stanford University, Ben Syverson

  • CoreMedia Playback

    Disponibile per: OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: la visualizzazione di un file video dannoso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: la gestione delle tracce di testo presenta un problema di accesso alla memoria non inizializzata. Questo problema viene risolto eseguendo ulteriori convalide delle tracce di testo.

    CVE-ID

    CVE-2013-1024: Richard Kuo e Billy Suguitan di Triemt Corporation

  • CUPS

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: un utente locale del gruppo lpadmin può leggere o scrivere file arbitrari con privilegi di sistema.

    Descrizione: la gestione della configurazione CUPS tramite la relativa interfaccia web presenta un problema di escalation dei privilegi. Un utente locale del gruppo lpadmin può leggere o scrivere file arbitrari con privilegi di sistema. Questo problema viene risolto spostando determinate direttive di configurazione nel file cups-files.conf, che non può essere modificato dall'interfaccia web di CUPS.

    CVE-ID

    CVE-2012-5519

  • Servizio directory

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8.

    Impatto: un malintenzionato collegato in remoto può eseguire del codice arbitrario con privilegi di sistema su sistemi con Servizio directory attivato.

    Descrizione: la gestione di messaggi dalla rete del server di directory presenta un problema. Attraverso un messaggio dannoso, un malintenzionato collegato in remoto può causare la chiusura del server di directory o l'esecuzione di codice arbitrario con i privilegi di sistema. Questo problema viene risolto attraverso un controllo migliore dei limiti. Il problema non riguarda i sistemi OS X Lion o OS X Mountain Lion.

    CVE-ID

    CVE-2013-0984: Nicolas Economou di Core Security

  • Gestione disco

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: un utente locale può disabilitare FileVault.

    Descrizione: un utente locale che non sia l'amministratore può disattivare FileVault tramite la riga di comando. Questo problema viene risolto con un'autenticazione aggiuntiva.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: un malintenzionato può decodificare i dati protetti con SSL.

    Descrizione: si verificano attacchi noti alla riservatezza di TLS 1.0 una volta attivata la compressione. Questo problema viene risolto disattivando la compressione in OpenSSL.

    CVE-ID

    CVE-2012-4929: Juliano Rizzo e Thai Duong

  • OpenSSL

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: si verificano diverse vulnerabilità in OpenSSL.

    Descrizione: OpenSSL è stato aggiornato alla versione 0.9.8x per risolvere diversi problemi di vulnerabilità, che possono causare l'interruzione del servizio o la divulgazione di una chiave privata. Ulteriori informazioni sono disponibili sul sito web di OpenSSL http://www.openssl.org/news/.

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Disponibile per: OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.2.

    Impatto: l'apertura di un'immagine PICT dannosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer nella gestione di immagini PICT. Questo problema viene risolto attraverso un controllo migliore dei limiti.

    CVE-ID

    CVE-2013-0975: Tobias Klein, collaboratore di Zero Day Initiative di HP

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: la visualizzazione di un file video dannoso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer nella gestione degli atom "enof". Questo problema viene risolto attraverso un controllo migliore dei limiti.

    CVE-ID

    CVE-2013-0986: Tom Gallagher (Microsoft) e Paul Bates (Microsoft), collaboratori di Zero Day Initiative di HP

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: la visualizzazione di un file QTIF dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un danneggiamento della memoria nella gestione dei file QTIF. Questo problema viene risolto attraverso un controllo migliore dei limiti.

    CVE-ID

    CVE-2013-0987: roob, collaboratore di iDefense VCP

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: la visualizzazione di un file FPX dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: la gestione dei file FPX presenta un overflow del buffer. Questo problema viene risolto attraverso un controllo migliore dei limiti.

    CVE-ID

    CVE-2013-0988: G. Geshev, collaboratore di Zero Day Initiative di HP

  • QuickTime

    Disponibile per: OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: la riproduzione di un file MP3 dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: la gestione dei file MP3 presenta un overflow del buffer. Questo problema viene risolto attraverso un controllo migliore dei limiti.

    CVE-ID

    CVE-2013-0989: G. Geshev, collaboratore di Zero Day Initiative di HP

  • Ruby

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8.

    Impatto: si verificano diverse vulnerabilità in Ruby on Rails.

    Descrizione: si verificano diversi problemi di vulnerabilità in Ruby on Rails, il più serio dei quali può causare l'esecuzione di codice arbitrario su sistemi che eseguono applicazioni basate su Ruby on Rails. Questi problemi, che potrebbero riguardare i sistemi OS X Lion o OS X Mountain Lion aggiornati da una versione Mac OS X 10.6.8 o meno recente, vengono risolti aggiornando Ruby on Rails alla versione 2.3.18. Su questi sistemi gli utenti possono aggiornare le gem coinvolte usando l'utility /usr/bin/gem.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Disponibile per: OS X Lion dalla versione 10.7 alla 10.7.5, OS X Lion Server dalla versione 10.7 alla 10.7.5, OS X Mountain Lion dalla versione 10.8 alla 10.8.3.

    Impatto: un utente autenticato può scrivere file all'esterno della cartella condivisa.

    Descrizione: se la condivisione di file SMB è attivata, un utente autenticato può scrivere file all'esterno della cartella condivisa. Questo problema viene risolto attraverso un controllo migliore dell'accesso.

    CVE-ID

    CVE-2013-0990: Ward van Wanrooij

  • Nota: a partire da OS X 10.8.4, le applicazioni Java Web Start (ad esempio JNLP) scaricate da internet devono essere firmate con un certificato Developer ID. Gatekeeper controllerà la firma delle applicazioni Java Web Start e bloccherà l'avvio di quelle sprovviste della firma adeguata.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore.

Ultima modifica:
Utile?

Informazioni aggiuntive di supporto al prodotto

Italia (Italiano)