Informazioni sul contenuto di sicurezza di OS X Mavericks 10.9.2 e sull'aggiornamento di sicurezza 2014-001

In questo documento viene descritto il contenuto di sicurezza di OS X Mavericks 10.9.2 e dell'aggiornamento di sicurezza 2014-001.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple".

Questo aggiornamento può essere scaricato e installato tramite Aggiornamento Software o tramite il sito web del supporto Apple.

OS X Mavericks 10.9.2 e aggiornamento di sicurezza 2014-001

  • Apache

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: diversi problemi di vulnerabilità in Apache.

    Descrizione: in Apache si verificavano diverse vulnerabilità, la più grave delle quali poteva comportare lo scripting di tipo cross-site. Tali problemi sono stati risolti aggiornando Apache alla versione 2.2.26.

    CVE-ID

    CVE-2013-1862

    CVE-2013-1896

  • App Sandbox

    Disponibile per: OS X Mountain Lion 10.8.5

    Impatto: l'app Sandbox potrebbe essere ignorata.

    Descrizione: l'interfaccia LaunchServices per l'avvio di un'applicazione consentiva alle app sandboxed di specificare l'elenco di argomenti passato al nuovo processo. Un'applicazione sandboxed compromessa poteva abusare di questo per ignorare la sandbox. Questo problema è stato risolto impedendo alle applicazioni sandboxed di specificare gli argomenti e non riguarda i sistemi OS X Mavericks 10.9 o versioni più recenti.

    CVE-ID

    CVE-2013-5179: Friedrich Graeter di The Soulmen GbR

  • ATS

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: la visualizzazione o il download di un documento contenente un font pericoloso incorporato potrebbe comportare l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di corruzione della memoria nella gestione dei font di tipo 1. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1254: Felix Groebert del Google Security Team

  • ATS

    Disponibile per: OS X Mavericks 10.9 e 10.9.1

    Impatto: l'app Sandbox potrebbe essere ignorata.

    Descrizione: si verificava un problema di corruzione della memoria nella gestione dei messaggi di Mach passati ad ATS. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1262: Meder Kydyraliev del Google Security Team

  • ATS

    Disponibile per: OS X Mavericks 10.9 e 10.9.1

    Impatto: l'app Sandbox potrebbe essere ignorata.

    Descrizione: si verificava un problema libero arbitrario nella gestione dei messaggi di Mach passati ad ATS. Questo problema è stato risolto attraverso un'ulteriore convalida dei messaggi di Mach.

    CVE-ID

    CVE-2014-1255: Meder Kydyraliev del Google Security Team

  • ATS

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: l'app Sandbox potrebbe essere ignorata.

    Descrizione: si verificava un problema di overflow del buffer nella gestione dei messaggi di Mach passati ad ATS. Questo problema è stato risolto attraverso un ulteriore controllo dei limiti.

    CVE-ID

    CVE-2014-1256: Meder Kydyraliev del Google Security Team

  • Certificate Trust Policy

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: i certificati principali sono stati aggiornati.

    Descrizione: la serie di certificati root di sistema è stato aggiornato. L'elenco completo dei root di sistema riconosciuti può essere visualizzato tramite l'applicazione Accesso Portachiavi.

  • Cookie CFNetwork

    Disponibile per: OS X Mountain Lion 10.8.5

    Impatto: i cookie della sessione potrebbero persistere anche dopo aver ripristinato Safari.

    Descrizione: il ripristino di Safari non eliminava sempre i cookie della sessione finché Safari non veniva chiuso. Questo problema è stato risolto mediante una migliore gestione dei cookie della sessione e non riguarda i sistemi OS X Mavericks 10.9 o versioni più recenti.

    CVE-ID

    CVE-2014-1257: Rob Ansaldo di Amherst College, Graham Bennett

  • CoreAnimation

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: l'accesso a un sito web pericoloso potrebbe comportare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer di heap nella gestione delle immagini da parte di CoreAnimation. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1258: Karl Smith di NCC Group

  • CoreText

    Disponibile per: OS X Mavericks 10.9 e 10.9.1

    Impatto: le applicazioni che usano CoreText potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di signedness nella gestione delle tabelle di font Unicode in CoreText. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1261: Lucas Apa e Carlos Mario Penagos dei laboratori IOActive

  • curl

    Disponibile per: OS X Mavericks 10.9 e 10.9.1

    Impatto: un malintenzionato con una posizione privilegiata sulla rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.

    Descrizione: quando veniva usato curl per la connessione a un URL HTTPS contenente un indirizzo IP, l'indirizzo IP non veniva convalidato con il certificato. Questo problema non riguarda i sistemi precedenti a OS X Mavericks 10.9.

    CVE-ID

    CVE-2014-1263: Roland Moriz di Moriz GmbH

  • Sicurezza dei dati

    Disponibile per: OS X Mavericks 10.9 e 10.9.1

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe registrare o modificare dati nelle sessioni protette da SSL/TLS.

    Descrizione: Secure Transport non riusciva a convalidare l'autenticità della connessione. Questo problema è stato risolto ripristinando i passaggi di convalida mancanti.

    CVE-ID

    CVE-2014-1266

  • Data e Ora

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: un utente senza privilegi potrebbe modificare l'orologio del sistema.

    Descrizione: questo aggiornamento modifica il comportamento del

    systemsetup
    
    comando in modo da richiedere i privilegi di amministratore per modificare l'orologio di sistema.

     

    CVE-ID

    CVE-2014-1265

  • Contrassegno dei file

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: la visualizzazione di un file pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione dei nomi di file. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1259

  • Finder

    Disponibile per: OS X Mavericks 10.9 e 10.9.1

    Impatto: l'accesso a un ACL di un file tramite il Finder potrebbe permettere ad altri utenti di ottenere l'accesso non autorizzato ai file.

    Descrizione: l'accesso a un ACL di un file tramite il Finder poteva danneggiare gli ACL sul file. Questo problema è stato risolto migliorando la gestione degli ACL.

    CVE-ID

    CVE-2014-1264

  • ImageIO

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: la visualizzazione di un file JPEG pericoloso potrebbe comportare la divulgazione di contenuti presenti in memoria.

    Descrizione: si verificava un problema relativo all'accesso alla memoria non inizializzata nella gestione dei marcatori JPEG da parte di libjpeg, comportando la divulgazione di contenuti presenti in memoria. Questo problema è stato risolto tramite una migliore gestione di JPEG.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • IOSerialFamily

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

    Impatto: l'esecuzione di un'applicazione pericolosa potrebbe comportare l'esecuzione di codice arbitrario nel kernel.

    Descrizione: si verificava un accesso alla matrice fuori dai limiti nel driver IOSerialFamily. Questo problema è stato risolto attraverso un ulteriore controllo dei limiti. e non riguarda i sistemi OS X Mavericks 10.9 o versioni più recenti.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • LaunchServices

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

    Impatto: un file potrebbe presentare l'estensione errata.

    Descrizione: si verificava un problema nella gestione di alcuni caratteri Unicode che potevano far sì che i nomi dei file presentassero estensioni errate. Questo problema è stato risolto filtrando i caratteri Unicode non sicuri dalla visualizzazione nei nomi dei file e non riguarda i sistemi OS X Mavericks 10.9 o versioni più recenti.

    CVE-ID

    CVE-2013-5178: Jesse Ruderman di Mozilla Corporation, Stephane Sudre di Intego

  • Driver NVIDIA

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: l'esecuzione di un'applicazione pericolosa potrebbe comportare l'esecuzione di codice arbitrario nella scheda grafica.

    Descrizione: si verificava un problema che consentiva la scrittura su alcune memorie affidabili sulle schede grafiche. Questo problema è stato risolto tramite la rimozione della capacità dell'host di scrivere su tale memoria.

    CVE-ID

    CVE-2013-5986: Marcin Kościelnicki del progetto X.Org Foundation Nouveau

    CVE-2013-5987: Marcin Kościelnicki del progetto X.Org Foundation Nouveau

  • PHP

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: diverse vulnerabilità in PHP.

    Descrizione: in PHP si verificavano diverse vulnerabilità, la più grave delle quali avrebbe potuto comportare l'esecuzione di codice arbitrario. Questi problemi sono stati risolti tramite l'aggiornamento di PHP alla versione 5.4.24 su OS X Mavericks 10.9 e alla versione 5.3.28 su OS X Lion e Mountain Lion.

    CVE-ID

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • QuickLook

    Disponibile per: OS X Mountain Lion 10.8.5

    Impatto: il download di un file Microsoft Office pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di corruzione della memoria nella gestione dei file Microsoft Office da parte di QuickLook. Il download di un file Microsoft Word pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. e non riguarda i sistemi OS X Mavericks 10.9 o versioni più recenti.

    CVE-ID

    CVE-2014-1260: Felix Groebert del Google Security Team

  • QuickLook

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: il download di un documento Microsoft Office pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di double free nella gestione dei documenti Microsoft da parte di QuickLook. Questo problema è stato risolto mediante una migliore gestione della memoria.

    CVE-ID

    CVE-2014-1252: Felix Groebert del Google Security Team

  • QuickTime

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: la riproduzione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione degli atom "ftab". Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1246: un ricercatore anonimo, collaboratore della Zero Day Initiative di HP.

  • QuickTime

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: la riproduzione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione degli atom "dref". Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1247: Tom Gallagher e Paul Bates collaboratori della Zero Day Initiative di HP

  • QuickTime

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: la riproduzione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione degli atom "ldat". Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1248: Jason Kratzer collaboratore di iDefense VCP

  • QuickTime

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: l'apertura di un'immagine PSD pericolosa potrebbe causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione delle immagini PSD. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1249: dragonltx del Tencent Security Team

  • QuickTime

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: la riproduzione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di scambio byte fuori dai limiti nella gestione degli elementi "ttfo". Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1250: Jason Kratzer collaboratore di iDefense VCP

  • QuickTime

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impatto: la riproduzione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di signedness nella gestione degli atom "stsz". Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1245: Tom Gallagher e Paul Bates collaboratori della Zero Day Initiative di HP

  • Secure Transport

    Disponibile per: OS X Mountain Lion 10.8.5

    Impatto: un malintenzionato potrebbe essere in grado di decodificare i dati protetti con SSL.

    Descrizione: esistevano noti attacchi sulla riservatezza di SSL 3.0 e TLS 1.0 quando una suite di codice utilizzava un codice di blocco nella modalità CBC. Per risolvere questi problemi per le applicazioni che usano Secure Transport, per questa configurazione è stata abilitata di default l'attenuazione di frammenti da 1 byte.

    CVE-ID

    CVE-2011-3389: Juliano Rizzo e Thai Duong

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: