Informazioni sul contenuto di sicurezza di OS X Mavericks 10.9

In questo documento viene descritto il contenuto di sicurezza di OS X Mavericks 10.9.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.

OS X Mavericks 10.9

  • Applicazione Firewall

    Impatto: socketfilterfw --blockApp potrebbe non impedire alle applicazioni di ricevere connessioni di rete.

    Descrizione: l'opzione --blockApp dello strumento della riga di comando socketfilterfw non impediva correttamente alle applicazioni di ricevere connessioni di rete. Questo problema è stato risolto mediante una migliore gestione delle opzioni --blockApp.

    CVE-ID

    CVE-2013-5165: Alexander Frangis di PopCap Games

  • App Sandbox

    Impatto: l'app Sandbox potrebbe essere ignorata.

    Descrizione: l'interfaccia LaunchServices per l'avvio di un'applicazione consentiva alle app sandboxed di specificare l'elenco di argomenti passato al nuovo processo. Un'applicazione sandboxed compromessa poteva abusare di questo per ignorare la sandbox. Questo problema è stato risolto impedendo alle applicazioni sandboxed di specificare gli argomenti.

    CVE-ID

    CVE-2013-5179: Friedrich Graeter di The Soulmen GbR

  • Bluetooth

    Impatto: un'applicazione locale pericolosa potrebbe causare la chiusura inattesa del sistema.

    Descrizione: il controller host USB Bluetooth eliminava le interfacce necessarie per le operazioni successive. Questo problema è stato risolto conservando l'interfaccia finché non era più necessaria.

    CVE-ID

    CVE-2013-5166: Stefano Bianchi Mazzone, Mattia Pagnozzi e Aristide Fattori di Computer and Network Security Lab (LaSER), Università degli Studi di Milano

  • CFNetwork

    Impatto: i cookie della sessione potrebbero persistere anche dopo aver ripristinato Safari.

    Descrizione: il ripristino di Safari non eliminava sempre i cookie della sessione finché Safari non veniva chiuso. Questo problema è stato risolto mediante una migliore gestione dei cookie della sessione.

    CVE-ID

    CVE-2013-5167: Graham Bennett, Rob Ansaldo di Amherst College

  • CFNetwork SSL

    Impatto: un malintenzionato potrebbe decrittografare parte di una connessione SSL.

    Descrizione: venivano utilizzate solo le versioni SSLv3 e TLS 1.0 di SSL. Quando viene utilizzata la crittografia a blocchi, tali versioni sono soggette alle debolezze del protocollo. Un malintenzionato man-in-the-middle poteva inserire dati non validi, provocando la visualizzazione di alcune informazioni relative ai dati precedenti nonostante la chiusura della connessione. In caso di tentativi di connessione ripetuti, il malintenzionato poteva anche decrittografare i dati inviati, come ad esempio una password. Questo problema è stato risolto abilitando TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Console

    Impatto: fare clic su una voce di resoconto pericolosa potrebbe causare l'esecuzione inattesa dell'applicazione.

    Descrizione: questo aggiornamento ha modificato il comportamento della Console quando si fa clic su una voce di resoconto con un URL associato. Anziché aprire l'URL, nella Console adesso viene visualizzato in anteprima l'URL con Visualizzazione rapida.

    CVE-ID

    CVE-2013-5168: Aaron Sigel di vtty.com

  • CoreGraphics

    Impatto: Windows potrebbe essere visibile sulla schermata di blocco dopo l'attivazione dello stato di stop del display.

    Descrizione: è stato rilevato un problema logico nella gestione CoreGraphics dello stato di stop del display. Tale problema comportava il danneggiamento dei dati per cui Windows era visibile sulla schermata di blocco. Il problema è stato risolto mediante una migliore gestione dello stato di stop del display.

    CVE-ID

    CVE-2013-5169

  • CoreGraphics

    Impatto: la visualizzazione di un file PDF pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: è stato rilevato un underflow del buffer nella gestione dei file PDF. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-5170: Will Dormann di CERT/CC

  • CoreGraphics

    Impatto: un'applicazione senza privilegi potrebbe riuscire a registrare le pressioni di tasti immesse in altre applicazioni anche quando la modalità di input protetta è abilitata.

    Descrizione: registrando un evento hotkey, un'applicazione senza privilegi poteva registrare le pressioni di tasti immesse in altre applicazioni anche quando la modalità di input protetta era abilitata. Questo problema è stato risolto mediante una convalida degli eventi hotkey.

    CVE-ID

    CVE-2013-5171

  • curl

    Impatto: diverse vulnerabilità in curl.

    Descrizione: in curl sono state rilevate diverse vulnerabilità, la più grave delle quali poteva comportare l'esecuzione di codice arbitrario. Questi problemi sono stati risolti aggiornando curl alla versione 7.30.0.

    CVE-ID

    CVE-2013-0249

    CVE-2013-1944

  • dyld

    Impatto: un malintenzionato che esegue codice arbitrario potrebbe continuare a farlo anche dopo il riavvio.

    Descrizione: si verificavano più overflow del buffer nella funzione openSharedCacheFile() di dyld. Questi problemi sono stati risolti mediante un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • IOKitUser

    Impatto: un'applicazione locale pericolosa potrebbe causare la chiusura inattesa del sistema.

    Descrizione: si verificava un problema relativo alla dereferenziazione del puntatore null in IOCatalogue. Questo problema è stato risolto tramite un ulteriore controllo dei tipi.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Impatto: l'esecuzione di un'applicazione pericolosa potrebbe comportare l'esecuzione di codice arbitrario nel kernel.

    Descrizione: si verificava un accesso alla matrice fuori dai limiti nel driver IOSerialFamily. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • Kernel

    Impatto: l'uso delle funzioni digest SHA-2 nel kernel potrebbero causare la chiusura inattesa del sistema.

    Descrizione: per la gamma SHA-2 di funzioni digest veniva utilizzata una lunghezza di output errata, determinando un kernel panic quando tali funzioni venivano usate, principalmente durante le connessioni IPSec. Questo problema è stato risolto mediante l'uso della lunghezza di output prevista.

    CVE-ID

    CVE-2013-5172: Christoph Nadig di Lobotomo Software

  • Kernel

    Impatto: la memoria stack del kernel potrebbe essere divulgata agli utenti locali.

    Descrizione: si verificava un problema di divulgazione di informazioni nelle API msgctl e segctl. Questo problema è stato risolto inizializzando le strutture dei dati restituiti dal kernel.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse di Kenx Technology, Inc

  • Kernel

    Impatto: un utente locale potrebbe causare l'interruzione del servizio.

    Descrizione: il generatore del numero casuale del kernel manteneva un blocco mentre rispondeva alle richieste dallo spazio utente, consentendo all'utente locale di fare una richiesta di grandi dimensioni e di mantenere il blocco per lunghi periodi di tempo, rifiutando l'assistenza agli altri utenti del generatore del numero casuale. Questo problema è stato risolto rilasciando e riottenendo il blocco per le richieste di grandi dimensioni più frequenti.

    CVE-ID

    CVE-2013-5173: Jaakko Pero di Aalto University

  • Kernel

    Impatto: un utente locale potrebbe riuscire a causare una chiusura improvvisa del sistema.

    Descrizione: si verificava un problema relativo al segno dei numeri interi nella gestione delle letture del tty. Questo problema è stato risolto migliorando la gestione delle letture del tty.

    CVE-ID

    CVE-2013-5174: CESG

  • Kernel

    Impatto: un utente locale potrebbe riuscire a causare la divulgazione delle informazioni della memoria del kernel o la chiusura inattesa del sistema.

    Descrizione: si verificava un problema di lettura fuori dai limiti nella gestione dei file Mach-O. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-5175

  • Kernel

    Impatto: un utente locale potrebbe riuscire a causare un blocco del sistema.

    Descrizione: si verificava un problema di troncamento di numeri interi nella gestione dei dispositivi tty. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-5176: CESG

  • Kernel

    Impatto: un utente locale potrebbe riuscire a causare la chiusura inattesa del sistema.

    Descrizione: quando veniva rilevata una struttura iovec non valida fornita dall'utente si verificava un kernel panic. Questo problema è stato risolto migliorando la convalida delle strutture iovec.

    CVE-ID

    CVE-2013-5177: CESG

  • Kernel

    Impatto: i processi senza privilegi potrebbero riuscire a causare la chiusura inattesa del sistema o l'esecuzione di codice arbitrario nel kernel.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione degli argomenti dell'API posix_spawn. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kernel

    Impatto: il programma Source Specific Multicast potrebbe causare la chiusura inattesa del sistema durante l'utilizzo di una rete Wi-Fi.

    Descrizione: si verificava un problema di controllo degli errori nella gestione dei pacchetti multicast. Questo problema è stato risolto migliorando la gestione dei pacchetti multicast.

    CVE-ID

    CVE-2013-5184: Octoshape

  • Kernel

    Impatto: un malintenzionato su una rete locale può causare l'interruzione del servizio.

    Descrizione: un malintenzionato su una rete locale può inviare pacchetti ICMP appositi per IPv6 causando un carico elevato per la CPU. Questo problema è stato risolto limitando la velocità dei pacchetti ICMP prima di verificare il loro checksum.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Impatto: un'applicazione locale pericolosa potrebbe causare un blocco del sistema.

    Descrizione: si verificava un problema di troncamento di numeri interi nell'interfaccia del socket del kernel che potrebbe essere sfruttato per forzare l'attivazione di un loop infinito della CPU. Il problema è stato risolto utilizzando una variabile di dimensioni maggiori.

    CVE-ID

    CVE-2013-5141: CESG

  • Gestione dei Kext

    Impatto: un processo non autorizzato può disabilitare alcune estensioni del kernel caricate.

    Descrizione: si verificava un problema nella gestione della gestione dei Kext di messaggi IPC di mittenti non autenticati. Questo problema è stato risolto aggiungendo ulteriori verifiche delle autorizzazioni.

    CVE-ID

    CVE-2013-5145: "Rainbow PRISM"

  • LaunchServices

    Impatto: un file potrebbe presentare l'estensione errata.

    Descrizione: si verificava un problema nella gestione di alcuni caratteri Unicode che potevano far sì che i nomi dei file presentassero estensioni errate. Questo problema è stato risolto filtrando i caratteri Unicode non sicuri dalla visualizzazione nei nomi dei file.

    CVE-ID

    CVE-2013-5178: Jesse Ruderman di Mozilla Corporation, Stephane Sudre di Intego

  • Libc

    Impatto: in circostanze inconsuete alcuni numeri casuali potrebbero essere prevedibili.

    Descrizione: se il generatore del numero casuale del kernel non era accessibile a srandomdev(), la funzione ricorreva a un metodo alternativo che era stato rimosso dall'ottimizzazione, comportando una mancanza di casualità. Questo problema è stato risolto modificando il codice in modo che fosse corretto durante l'ottimizzazione.

    CVE-ID

    CVE-2013-5180: Xi Wang

  • Account Mail

    Impatto: Mail potrebbe non scegliere il metodo di autenticazione più sicuro disponibile.

    Descrizione: durante l'autoconfigurazione di un account di posta su alcuni server di posta l'app Mail utilizzava l'autenticazione senza crittografia tramite l'autenticazione CRAM-MD5. Questo problema è stato risolto migliorando la gestione della logica.

    CVE-ID

    CVE-2013-5181

  • Visualizzazione dell'intestazione in Mail

    Impatto: un messaggio non firmato potrebbe essere visualizzato come firmato correttamente.

    Descrizione: si verificava un problema di logica nella gestione di Mail dei messaggi non firmati che tuttavia contenevano una parte multipart/signed. Questo problema è stato risolto migliorando la gestione dei messaggi non firmati.

     

    CVE-ID

    CVE-2013-5182: Michael Roitzsch della Technische Universität di Dresda

  • Connettività Mail

    Impatto: le informazioni potrebbero essere rapidamente trasferite senza crittografia quando è configurata la crittografia non TLS.

    Descrizione: quando l'autenticazione Kerberos era abilitata e il protocollo TLS (Transport Layer Security) era disabilitato, Mail inviava alcuni dati non crittografati ai server di posta comportando l'interruzione inattesa della connessione. Questo problema è stato risolto mediante una migliore gestione di questa configurazione.

    CVE-ID

    CVE-2013-5183: Richard E. Silverman di www.qoxp.net

  • OpenLDAP

    Impatto: lo strumento della riga di comando ldapsearch non era conforme alla configurazione minssf.

    Descrizione: lo strumento della riga di comando ldapsearch non era conforme alla configurazione minssf. Ciò poteva comportare un indebolimento della crittografia inatteso. Questo problema è stato risolto mediante una migliore gestione della configurazione minssf.

    CVE-ID

    CVE-2013-5185

  • Perl

    Impatto: gli script Perl potrebbero essere vulnerabili all'interruzione del servizio.

    Descrizione: nelle versioni obsolete di Perl il meccanismo di rigenerazione dell'hash poteva essere vulnerabile all'interruzione del servizio negli script che usano input non sicuri come chiavi hash. Questo problema è stato risolto eseguendo l'aggiornamento a Perl 5.16.2.

    CVE-ID

    CVE-2013-1667

  • Gestione dell'alimentazione

    Impatto: lo schermo potrebbe non bloccarsi dopo un periodo di tempo specificato.

    Descrizione: si verificava un problema relativo al blocco nella gestione dell'alimentazione. Il problema è stato risolto mediante una migliore gestione del blocco.

    CVE-ID

    CVE-2013-5186: David Herman presso Sensible DB Design

  • python

    Impatto: diverse vulnerabilità in python 2.7.

    Descrizione: si verificavano più vulnerabilità in python 2.7.2, la più grave delle quali poteva comportare la decrittografia dei contenuti di una connessione SSL. Questo aggiornamento risolve i problemi mediante l'update di python alla versione 2.7.5. Ulteriori informazioni sono disponibili tramite il sito python all'indirizzo http://www.python.org/download/releases/.

    CVE-ID

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • python

    Impatto: diverse vulnerabilità in python 2.6.

    Descrizione: si verificavano più vulnerabilità in python 2.6.7, la più grave delle quali poteva comportare la decrittografia dei contenuti di una connessione SSL. Questo aggiornamento risolve i problemi mediante l'aggiornamento python alla versione 2.6.8 e l'applicazione delle correzioni per CVE-2011-4944 dal progetto Python. Ulteriori informazioni sono disponibili sul sito web python all'indirizzo http://www.python.org/download/releases/.

    CVE-ID

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • Ruby

    Impatto: un malintenzionato con una posizione privilegiata sulla rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.

    Descrizione: si verificava un problema di convalida del nome host nella gestione di Ruby dei certificati SSL. Questo problema è stato risolto mediante l'aggiornamento di Ruby alla versione 2.0.0p247.

    CVE-ID

    CVE-2013-4073

  • Sicurezza

    Impatto: il supporto per i certificati X.509 con hash MD5 può esporre gli utenti allo spoofing e alla divulgazione di informazioni man mano che gli attacchi vengono perfezionati.

    Descrizione: i certificati firmati utilizzando l'algoritmo hash MD5 sono stati recepiti in OS X. Questo algoritmo presenta debolezze note relative alla crittografia. Ulteriori ricerche o un'autorità di certificazione erroneamente configurata potevano disporre la creazione di certificati X.509 con valori controllati da chi effettuava l'attacco, ma resi attendibili dal sistema. Ciò avrebbe esposto i protocolli basati su X.509 ad attacchi di spoofing, man-in-the-middle e divulgazione delle informazioni. L'aggiornamento disattiva il supporto di un certificato X.509 con hash MD5 per qualsiasi uso diverso da quello del certificato root attendibile.

    CVE-ID

    CVE-2011-3427

  • Sicurezza - Autorizzazione

    Impatto: le preferenze di sicurezza di un amministratore potrebbero non essere rispettate.

    Descrizione: l'impostazione "Richiedi una password di amministratore per accedere alle preferenze di sistema con l'icona di un lucchetto" consente agli amministratori di aggiungere un livello di protezione maggiore alle impostazioni di sistema sensibili. In alcuni casi in cui un amministratore aveva abilitato questa impostazione, l'applicazione di un aggiornamento o di un upgrade del software poteva conseguentemente causare la disattivazione dell'impostazione. Questo problema è stato risolto mediante una migliore gestione dei diritti di autorizzazione.

    CVE-ID

    CVE-2013-5189: Greg Onufer

  • Sicurezza - Servizi Smart Card

    Impatto: i Servizi Smart Card potrebbero non essere disponibili quando i controlli di revoca del certificato sono abilitati.

    Descrizione: è stato rilevato un problema nella gestione di OS X dei controlli di revoca dei certificati di Smart Card. Il problema è stato risolto migliorando il supporto di revoca del certificato.

    CVE-ID

    CVE-2013-5190: Yongjun Jeon di Centrify Corporation

  • Blocco schermo

    Impatto: il comando "Blocco schermo" potrebbe non produrre alcun effetto immediatamente.

    Descrizione: il comando "Blocco schermo" nell'elemento della barra dei menu relativa allo stato del portachiavi produceva un effetto solo una volta trascorso l'intervallo di tempo impostato per "Richiedi password [tempo richiesto] dopo lo stop o l'avvio del salvaschermo".

    CVE-ID

    CVE-2013-5187: Michael Kisor di OrganicOrb.com, Christian Knappskog di NTNU (Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed

  • Blocco schermo

    Impatto: un Mac in stato di sospensione con login automatico potrebbe richiedere una password per riattivarsi.

    Descrizione: un Mac con stato di sospensione e login automatico abilitati poteva riattivarsi dallo stato di sospensione senza richiedere la password. Il problema è stato risolto migliorando il sistema di gestione del blocco.

    CVE-ID

    CVE-2013-5188: Levi Musters

  • Server di condivisione dello schermo

    Impatto: un malintenzionato collegato in remoto potrebbe causare l'esecuzione di codice arbitrario.

    Descrizione: è stata rilevata una vulnerabilità nella gestione del nome utente VNC del server di condivisione dello schermo.

    CVE-ID

    CVE-2013-5135: SilentSignal collaboratore di iDefense VCP

  • syslog

    Impatto: un utente ospite potrebbe riuscire a visualizzare i messaggi di resoconto dagli ospiti precedenti.

    Descrizione: il resoconto della console poteva essere visualizzato dall'utente ospite e conteneva messaggi delle precedenti sessioni utente ospite. Questo problema è stato risolto rendendo visibile solo agli amministratori il resoconto della console per gli utenti ospite.

    CVE-ID

    CVE-2013-5191: Sven-S. Porst di earthlingsoft

  • USB

    Impatto: un'applicazione locale pericolosa potrebbe causare la chiusura inattesa del sistema.

    Descrizione: il controller hub USB non controllava la porta e il numero di porta delle richieste. Il problema è stato risolto aggiungendo i controlli della porta e del numero di porta.

    CVE-ID

    CVE-2013-5192: Stefano Bianchi Mazzone, Mattia Pagnozzi e Aristide Fattori di Computer and Network Security Lab (LaSER), Università degli Studi di Milano

Nota: OS X Mavericks include Safari 7.0, che comprende il contenuto di sicurezza di Safari 6.1. Per ulteriori dettagli consulta "Informazioni sul contenuto di sicurezza di Safari 6.1" all'indirizzo http://support.apple.com/kb/HT6000?viewlocale=it_IT

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: