Questo aggiornamento può essere scaricato e installato tramite Aggiornamento Software o tramite il sito del supporto Apple.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.
Nota: OS X Mavericks 10.9.4 include il contenuto di sicurezza di Safari 7.0.5.
OS X Mavericks 10.9.4 e aggiornamento di sicurezza 2014-003
Certificate Trust Policy
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: aggiornamento del Certificate Trust Policy.
Descrizione: il Certificate Trust Policy è stato aggiornato. Puoi visualizzare l'elenco completo dei certificati all'indirizzo https://support.apple.com/it-it/HT6005.
copyfile
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: l'apertura di un file zip pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di scambio byte fuori dai limiti nella gestione dei file AppleDouble negli archivi zip. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-1370: Chaitanya (SegFault) collaboratore di iDefense VCP
curl
Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un malintenzionato collegato in remoto potrebbe essere in grado di ottenere accesso alla sessione di un altro utente.
Descrizione: cURL riutilizzava le connessioni NTLM quando era attivato più di un metodo di autenticazione, consentendo in questo modo al malintenzionato di ottenere accesso alla sessione di un altro utente.
ID CVE
CVE-2014-0015
Dock
Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un'applicazione sandboxed potrebbe essere in grado di eludere le restrizioni della sandbox.
Descrizione: si verificava un problema relativo a un indice di array non convalidato nella gestione del Dock dei messaggi dalle applicazioni. Un messaggio pericoloso poteva causare la dereferenziazione di un puntatore non valido, comportando la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.
ID CVE
CVE-2014-1371: un ricercatore anonimo, collaboratore della Zero Day Initiative di HP
Driver della scheda grafica
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un utente collegato in locale può leggere la memoria del kernel, che può essere usata per ignorare la funzione Address Space Layout Randomization (ASLR).
Descrizione: si verificava un problema di lettura non nei limiti nella gestione di una chiamata di sistema. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-1372: Ian Beer della Google Project Zero
iBooks Commerce
Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un malintenzionato con accesso a un sistema può recuperare le credenziali dell'ID Apple.
Descrizione: si verificava un problema nella gestione dei resoconti di iBooks. La procedura iBooks poteva registrare le credenziali dell'ID Apple nel resoconto di iBooks dove altri utenti del sistema avrebbero potuto leggerlo. Questo problema viene risolto non consentendo la registrazione delle credenziali.
ID CVE
CVE-2014-1317: Steve Dunham
Driver Intel Graphics
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di convalida nella gestione di una chiamata API con OpenGL. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-1373: Ian Beer della Google Project Zero
Driver Intel Graphics
Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un utente collegato in locale può leggere un puntatore del kernel, che può essere usato per ignorare la funzione Address Space Layout Randomization (ASLR).
Descrizione: era possibile recuperare dallo userland un puntatore del kernel archiviato in un oggetto IOKit. Questo problema è stato risolto attraverso la rimozione del puntatore dall'oggetto.
ID CVE
CVE-2014-1375
Intel Compute
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di convalida nella gestione di una chiamata API con OpenCL. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-1376: Ian Beer della Google Project Zero
IOAcceleratorFamily
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di indicizzazione in IOAcceleratorFamily. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-1377: Ian Beer della Google Project Zero
IOGraphicsFamily
Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un utente collegato in locale può leggere un puntatore del kernel, che può essere usato per ignorare la funzione Address Space Layout Randomization (ASLR).
Descrizione: era possibile recuperare dallo userland un puntatore del kernel archiviato in un oggetto IOKit. Questo problema è stato risolto usando un ID univoco al posto di un puntatore.
ID CVE
CVE-2014-1378
IOReporting
Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un utente collegato in locale può causare il riavvio improvviso del sistema.
Descrizione: la gestione degli argomenti API con IOKitsi presentava un problema di dereferenziazione del puntatore null. Questo problema è stato risolto attraverso la convalida aggiuntiva degli argomenti API con IOKit.
ID CVE
CVE-2014-1355: cunzhang di Adlab di Venustech
launchd
Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un underflow di valori integer in launchd. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-1359: Ian Beer di Google Project Zero
launchd
Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un overflow del buffer di heap nella gestione da parte di launchd dei messaggi IPC. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-1356: Ian Beer di Google Project Zero
launchd
Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un overflow del buffer di heap nella gestione da parte di launchd dei messaggi di log. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-1357: Ian Beer di Google Project Zero
launchd
Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un overflow di valori integer in launchd. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-1358: Ian Beer di Google Project Zero
Driver della scheda grafica
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificavano diversi problemi relativi alla dereferenziazione del puntatore null nei driver della scheda grafica del kernel. Un file eseguibile a 32 bit pericolo potrebbe essere stato in grado di ottenere privilegi elevati.
ID CVE
CVE-2014-1379: Ian Beer della Google Project Zero
Sicurezza: portachiavi
Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un malintenzionato potrebbe essere in grado di digitare nelle finestre anche in presenza della schermata di blocco.
Descrizione: in alcune rare circostanze la schermata di blocco non rilevava la pressione dei tasti, consentendo a un malintenzionato di digitare nelle finestre anche in presenza della schermata di blocco. Questo problema è stato risolto attraverso una migliore gestione dell'osservatore della combinazione di tasti.
ID CVE
CVE-2014-1380: Ben Langfeld della Mojo Lingo LLC
Sicurezza: Secure Transport
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un malintenzionato collegato in remoto potrebbe aprire due byte di memoria.
Descrizione: si verificava un problema relativo all'accesso alla memoria non inizializzata nella gestione dei messaggi DTLS in una connessione TLS. Questo problema è stato risolto accettando solo i messaggi DTLS in una connessione DTLS.
ID CVE
CVE-2014-1361: Thijs Alkemade di The Adium Project
Thunderbolt
Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.3
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di accesso alla memoria fuori dai limiti nella gestione delle chiamate API con IOThunderBoltController. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-1381: Sarah aka winocm
Voce aggiornata il 3 febbraio 2020