Informazioni sul contenuto di sicurezza di OS X Mountain Lion 10.8.5 e sull'aggiornamento di sicurezza 2013-004

In questo documento vengono descritti il contenuto di sicurezza di OS X Mountain Lion 10.8.5 e l'aggiornamento di sicurezza 2013-004.

Puoi scaricare e installare entrambi tramite le preferenze di Aggiornamento Software o dalla pagina dei download di Apple.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple". 

OS X Mountain Lion 10.8.5 e aggiornamento di sicurezza 2013-004

  • Apache

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, dalla versione 10.8 alla versione 10.8.4 di OS X Mountain Lion

    Impatto: diversi problemi di vulnerabilità in Apache.

    Descrizione: in Apache sono state rilevate diverse vulnerabilità, la più grave delle quali avrebbe potuto comportare lo scripting di tipo cross-site. Tali problemi sono stati risolti aggiornando Apache alla versione 2.2.24.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, dalla versione 10.8 alla versione 10.8.4 di OS X Mountain Lion

    Impatto: diverse vulnerabilità in BIND.

    Descrizione: in BIND esistevano diverse vulnerabilità, la più grave delle quali poteva causare l'interruzione del servizio. Tali problemi sono stati risolti aggiornando BIND alla versione 9.8.5-P1. CVE-2012-5688 non ha interessato i sistemi Mac OS X 10.7.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, dalla versione 10.8 alla versione 10.8.4 di OS X Mountain Lion

    Impatto: i certificati principali sono stati aggiornati.

    Descrizione: alcuni certificati sono stati aggiunti all'elenco dei root di sistema oppure sono stati rimossi. L'elenco completo dei root di sistema riconosciuti può essere visualizzato tramite l'applicazione Accesso Portachiavi.

  • ClamAV

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

    Impatto: diverse vulnerabilità in ClamAV.

    Descrizione: sono presenti diversi problemi di vulnerabilità in ClamAV, il più grave dei quali può comportare l'esecuzione di codice arbitrario. L'aggiornamento di ClamAV alla versione 0.97.8 consente di risolvere il problema.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Disponibile per: OS X Mountain Lion, dalla versione 10.8 alla versione 10.8.4

    Impatto: la visualizzazione di un file PDF pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un sovraccarico del buffer nella gestione di dati codificati JBIG2 nei file PDF. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-1025: Felix Groebert del Google Security Team

  • ImageIO

    Disponibile per: OS X Mountain Lion, dalla versione 10.8 alla versione 10.8.4

    Impatto: la visualizzazione di un file PDF pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un sovraccarico del buffer nella gestione di dati codificati JPEG2000 nei file PDF. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-1026: Felix Groebert del Google Security Team

  • Installazione

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, dalla versione 10.8 alla versione 10.8.4 di OS X Mountain Lion

    Impatto: i pacchetti potevano essere aperti dopo la revoca del certificato.

    Descrizione: se il programma di installazione rilevava un certificato revocato, veniva visualizzata una finestra di dialogo con l'opzione di continuare. Il problema è stato risolto rimuovendo la finestra di dialogo e rifiutando qualsiasi pacchetto revocato.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, dalla versione 10.8 alla versione 10.8.4 di OS X Mountain Lion

    Impatto: un malintenzionato potrebbe intercettare i dati protetti con IPSec Hybrid Auth.

    Descrizione: il nome DNS di un server IPSec Hybrid Auth non veniva abbinato al certificato, permettendo in questo modo ai malintenzionati con un certificato di un server qualsiasi di assumere altre identità. Il problema è stato risolto verificando adeguatamente il certificato.

    CVE-ID

    CVE-2013-1028: Alexander Traud di www.traud.de

  • Kernel

    Disponibile per: OS X Mountain Lion, dalla versione 10.8 alla versione 10.8.4

    Impatto: un utente in locale può causare l'interruzione del servizio.

    Descrizione: un controllo non corretto nel codice di analisi del pacchetto IGMP del kernel ha consentito all'utente in grado di inviare pacchetti IGMP al sistema di determinare un kernel panic. Il problema è stato risolto rimuovendo quel controllo.

    CVE-ID

    CVE-2013-1029: Christopher Bohn di PROTECTSTAR INC.

  • Mobile Device Management (MDM)

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, dalla versione 10.8 alla versione 10.8.4 di OS X Mountain Lion

    Impatto: le password potevano essere rivelate ad altri utenti in locale.

    Descrizione: l'invio di una password tramite riga di comando a un client mdm rendeva la password visibile agli altri utenti dello stesso sistema. Il problema è stato risolto comunicando la password attraverso un pipe.

    CVE-ID

    CVE-2013-1030: Per Olofsson presso University of Gothenburg

  • OpenSSL

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, dalla versione 10.8 alla versione 10.8.4 di OS X Mountain Lion

    Impatto: si verificano diverse vulnerabilità in OpenSSL.

    Descrizione: in OpenSSL esistevano diverse vulnerabilità, la più grave delle quali poteva comportare la divulgazione dei dati utente. Tali problemi sono stati risolti aggiornando OpenSSL alla versione 0.9.8y.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, dalla versione 10.8 alla versione 10.8.4 di OS X Mountain Lion

    Impatto: diverse vulnerabilità in PHP.

    Descrizione: in PHP esistevano diverse vulnerabilità, la più grave delle quali poteva comportare l'esecuzione di codice arbitrario. Tali problemi sono stati risolti aggiornando PHP alla versione 5.3.26.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, dalla versione 10.8 alla versione 10.8.4 di OS X Mountain Lion

    Impatto: diverse vulnerabilità in PostgreSQL.

    Descrizione: in PostgreSQL esistevano diverse vulnerabilità, la più grave delle quali poteva causare il danneggiamento dei dati o l'escalation dei privilegi. CVE-2013-1901 non riguarda i sistemi OS X Lion. L'aggiornamento di PostgreSQL alla versione 9.1.9 nei sistemi OS X Mountain Lion e alla versione 9.0.4 nei sistemi OS X Lion consente di risolvere il problema.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Gestione dell'alimentazione

    Disponibile per: OS X Mountain Lion, dalla versione 10.8 alla versione 10.8.4

    Impatto: talvolta il salvaschermo non si attivava dopo l'intervallo di tempo specificato.

    Descrizione: si era verificato un problema relativo al blocco dell'alimentazione. Il problema è stato risolto migliorando il sistema di gestione del blocco.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Disponibile per: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, dalla versione 10.8 alla versione 10.8.4 di OS X Mountain Lion

    Impatto: la visualizzazione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di danneggiamento della memoria nella gestione degli atom IDSC nei filmati QuickTime. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-1032: Jason Kratzer collaboratore di iDefense VCP

  • Blocco schermo

    Disponibile per: OS X Mountain Lion, dalla versione 10.8 alla versione 10.8.4

    Impatto: un utente che condivide lo schermo potrebbe superare il blocco dello schermo quando un altro utente ha effettuato l'accesso.

    Descrizione: si è verificato un problema nella gestione del blocco dello schermo delle sessioni di condivisione dello schermo. Il problema è stato risolto migliorando il tracking della sessione.

    CVE-ID

    CVE-2013-1033: Jeff Grisso di Atos IT Solutions, Sébastien Stormacq

  • sudo

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, dalla versione 10.8 alla versione 10.8.4 di OS X Mountain Lion

    Impatto: un malintenzionato con il controllo dell'account amministratore potrebbe essere in grado di acquisire i privilegi root senza conoscere la password dell'utente.

    Descrizione: impostando l'orologio del sistema, un malintenzionato potrebbe utilizzare sudo per acquisire i privilegi root nei sistemi in cui è già stato utilizzato sudo. In OS X solo gli utenti amministratore possono modificare l'orologio del sistema. Il problema è stato risolto ricercando data e ora non valide.

    CVE-ID

    CVE-2013-1775

 

  • Nota: OS X Mountain Lion 10.8.5 risolve anche il problema relativo alla chiusura inaspettata delle applicazioni a causa di determinate stringhe Unicode.

 

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: