Informazioni sui contenuti di sicurezza OS X Yosemite 10.10.2 e sull'aggiornamento di sicurezza 2015-001
In questo documento vengono descritti i contenuti di sicurezza di OS X Yosemite 10.10.2 e l'aggiornamento di sicurezza 2015-001
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.
OS X Yosemite 10.10.2 e aggiornamento di sicurezza 2015-001
AFP Server
Disponibile per: OS X Mavericks 10.9.5
Impatto: un utente malintenzionato collegato in remoto potrebbe essere in grado di determinare tutti gli indirizzi di rete del sistema.
Descrizione: il file server AFP supportava un comando che restituiva tutti gli indirizzi di rete del sistema. Il problema è stato risolto rimuovendo gli indirizzi dal risultato.
CVE-ID
CVE-2014-4426 : Craig Young di Tripwire VERT
bash
Disponibile per: OS X Yosemite 10.10 e 10.10.1
Impatto: vengono rilevate diverse vulnerabilità in bash, una delle quali può consentire a utenti malintenzionati di eseguire codice arbitrario.
Descrizione: sono presenti diverse vulnerabilità in bash. Questi problemi sono stati risolti aggiornando la versione di bash al livello patch 57.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Bluetooth
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: in IOBluetoothFamily si verificava un errore di signedness dei numeri interi che consentiva la manipolazione della memoria del kernel. Il problema è stato risolto attraverso un migliore controllo dei limiti. Il problema non interessa i sistemi OS X Yosemite.
CVE-ID
CVE-2014-4497
Bluetooth
Disponibile per: OS X Yosemite 10.10 e 10.10.1
Impatto: un'app dannosa potrebbe eseguire un codice arbitrario con privilegi di sistema.
Descrizione: era presente un errore nel driver del Bluetooth che consentiva a un'app dannosa di controllare la dimensione di una scrittura nella memoria del kernel. Il problema è stato risolto attraverso un'ulteriore convalida dell'input.
CVE-ID
CVE-2014-8836 : Ian Beer di Google Project Zero
Bluetooth
Disponibile per: OS X Yosemite 10.10 e 10.10.1
Impatto: un'app dannosa potrebbe eseguire un codice arbitrario con privilegi di sistema.
Descrizione: erano presenti diversi errori nel driver del Bluetooth che consentivano a un'app dannosa di eseguire codice arbitrario con i privilegi di sistema. Questi problemi sono stati risolti attraverso un'ulteriore convalida dell'input.
CVE-ID
CVE-2014-8837 : Roberto Paleari e Aristide Fattori di Emaze Networks
CFNetwork Cache
Disponibile per: OS X Yosemite 10.10 e 10.10.1
Impatto: la cache del sito web potrebbe non essere cancellata completamente dopo aver chiuso la navigazione privata.
Descrizione: si verificava un problema di privacy per cui i dati di navigazione potevano rimanere nella cache dopo aver chiuso la navigazione privata. Il problema è stato risolto modificando il comportamento della memorizzazione nella cache.
CVE-ID
CVE-2014-4460
CoreGraphics
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: l'apertura di un file PDF dannoso può comportare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow di numeri interi nella gestione dei file PDF. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4481 : Felipe Andres Manzano di Binamuse VRT tramite l’iSIGHT Partners GVP Program
CPU Software
Disponibile per: OS X Yosemite 10.10 e 10.10.1: MacBook Pro Retina, MacBook Air (metà 2013 e modelli successivi), iMac (fine 2013 e modelli successivi), Mac Pro (fine 2013).
Impatto: un dispositivo Thunderbolt dannoso potrebbe essere in grado di influenzare l'aggiornamento del firmware
Descrizione: i dispositivi Thunderbolt potrebbero modificare il firmware dell'host se collegati durante un aggiornamento EFI. Questo problema viene risolto non caricando le ROM facoltative durante gli aggiornamenti.
CVE-ID
CVE-2014-4498 : Trammell Hudson di Two Sigma Investments
CommerceKit Framework
Disponibile per: OS X Yosemite 10.10 e 10.10.1
Impatto: un malintenzionato con accesso a un sistema può recuperare le credenziali dell'ID Apple.
Descrizione: si verificava un problema nella gestione dei registri dell'App Store. Il processo dell'App Store potrebbe registrare le credenziali dell'ID Apple nel registro quando è stata abilitata la registrazione aggiuntiva. Questo problema viene risolto non consentendo la registrazione delle credenziali.
CVE-ID
CVE-2014-4499 : Sten Petersen
CoreGraphics
Disponibile per: OS X Yosemite 10.10 e 10.10.1
Impatto: alcune applicazioni di terze parti con eventi di immissione di testo e del mouse non protetti potrebbero registrare tali eventi.
Descrizione: a causa della combinazione di una variabile non inizializzata e di un allocatore personalizzato di un'applicazione, è possibile che siano stati registrati eventi di immissione di testo e del mouse non protetti. Il problema è stato risolto facendo in modo che la registrazione sia disattivata per impostazione predefinita. Il problema non interessa i sistemi precedenti a OS X Yosemite.
CVE-ID
CVE-2014-1595 : Steven Michaud di Mozilla in collaborazione con Kent Howard
CoreGraphics
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Impatto: l'apertura di un file PDF dannoso può comportare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file PDF. Il problema viene risolto attraverso un migliore controllo dei limiti. Il problema non interessa i sistemi OS X Yosemite.
CVE-ID
CVE-2014-8816 : Mike Myers, di Digital Operatives LLC
CoreSymbolication
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificavano diversi problemi di confusione dei tipi nella gestione dei messaggi XPC da parte di coresymbolicationd. Questi problemi sono stati risolti attraverso un migliore controllo dei tipi.
CVE-ID
CVE-2014-8817 : Ian Beer di Google Project Zero
FontParser
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: l'apertura di un file .dfont dannoso può comportare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di corruzione della memoria nella gestione dei file .dfont. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4484 : Gaurav Baruah collaboratore della Zero Day Initiative di HP
FontParser
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: l'apertura di un file PDF dannoso può comportare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer nella gestione dei file di font. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4483 : Apple
Foundation
Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: la visualizzazione di un file XML dannoso può comportare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer nel parser XML. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4485 : Apple
Intel Graphics Driver
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: diverse vulnerabilità nel driver della scheda grafica Intel.
Descrizione: erano presenti numerose vulnerabilità nel driver della scheda grafica Intel, la più grave delle quali potrebbe comportare l'esecuzione arbitraria di codice con privilegi di sistema. Questo aggiornamento risolve i problemi attraverso ulteriori controlli dei limiti.
CVE-ID
CVE-2014-8819 : Ian Beer di Google Project Zero
CVE-2014-8820 : Ian Beer di Google Project Zero
CVE-2014-8821 : Ian Beer di Google Project Zero
IOAcceleratorFamily
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un dereferenziamento del puntatore null nella gestione di alcuni tipi di userclient IOService da parte di IOAcceleratorFamily. Il problema è stato risolto attraverso una migliore convalida dei contesti di IOAcceleratorFamily.
CVE-ID
CVE-2014-4486 : Ian Beer di Google Project Zero
IOHIDFamily
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un overflow del buffer in IOHIDFamily. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4487 : TaiG Jailbreak Team
IOHIDFamily
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di convalida nella gestione dei metadati delle code di risorse da parte di IOHIDFamily. Il problema è stato risolto attraverso una migliore convalida dei metadati.
CVE-ID
CVE-2014-4488 : Apple
IOHIDFamily
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema relativo alla dereferenziazione del puntatore null nella gestione delle code degli eventi in IOHIDFamily. Il problema è stato risolto attraverso una migliore convalida dell'inizializzazione della coda eventi IOHIDFamily.
CVE-ID
CVE-2014-4489 : @beist
IOHIDFamily
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: l'esecuzione di un'applicazione pericolosa può causare l'esecuzione di codice arbitrario nel kernel.
Descrizione: si verificava un problema di controllo dei limiti in un client utente fornito dal driver IOHIDFamily che consentiva a un'applicazione dannosa di sovrascrivere parti arbitrarie dello spazio degli indirizzi del kernel. Il problema viene risolto rimuovendo il metodo client dell'utente vulnerabile.
CVE-ID
CVE-2014-8822 : Vitaliy Toropo in collaborazione con Zero Day Initiative di HP
IOKit
Disponibile per: OS X Yosemite 10.10 e 10.10.1
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un overflow di numeri interi nella gestione delle funzioni di IOKit. Questo problema è stato risolto mediante una migliore convalida degli argomenti API con IOKit.
CVE-ID
CVE-2014-4389 : Ian Beer di Google Project Zero
IOUSBFamily
Disponibile per: OS X Yosemite 10.10 e 10.10.1
Impatto: un'applicazione privilegiata potrebbe essere in grado di leggere dati arbitrari dalla memoria del kernel.
Descrizione: si verificava un problema relativo all'accesso alla memoria non inizializzata nella gestione delle funzioni di IOUSB. Il problema è stato risolto attraverso una migliore convalida degli argomenti.
CVE-ID
CVE-2014-8823 : Ian Beer di Google Project Zero
Kerberos
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: la libreria Kerberos libgssapi restituiva un token di contesto con un puntatore non funzionante. Il problema è stato risolto migliorando la gestione dello stato.
CVE-ID
CVE-2014-5352
Kernel
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: la specifica di una modalità cache personalizzata consentiva la scrittura su segmenti di memoria condivisa di sola lettura del kernel. Il problema è stato risolto non concedendo le autorizzazioni di scrittura come effetto collaterale di alcune modalità cache personalizzate.
CVE-ID
CVE-2014-4495 : Ian Beer di Google Project Zero
Kernel
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di convalida nella gestione di alcuni campi metadati di oggetti IODataQueue. Il problema è stato risolto attraverso una migliore convalida dei metadati.
CVE-ID
CVE-2014-8824 : @PanguTeam
Kernel
Disponibile per: OS X Yosemite 10.10 e 10.10.1
Impatto: un utente malintenzionato locale può eseguire lo spoofing delle risposte del servizio directory al kernel, elevare i privilegi o ottenere l'esecuzione del kernel.
Descrizione: si verificavano problemi nella convalida del processo di risoluzione del servizio directory, nella gestione dei flag e nella gestione degli errori di Identitysvc. che è stato risolto attraverso una migliore convalida.
CVE-ID
CVE-2014-8825 : Alex Radocea di CrowdStrike
Kernel
Disponibile per: OS X Yosemite 10.10 e 10.10.1
Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.
Descrizione: si verificavano diversi problemi relativi alla memoria non inizializzata nell'interfaccia delle statistiche di rete che comportavano la divulgazione dei contenuti della memoria del kernel. Questo problema è stato risolto attraverso un'ulteriore inizializzazione della memoria.
CVE-ID
CVE-2014-4371 : Fermin J. Serna del Google Security Team
CVE-2014-4419 : Fermin J. Serna del Google Security Team
CVE-2014-4420 : Fermin J. Serna del Google Security Team
CVE-2014-4421 : Fermin J. Serna del Google Security Team
Kernel
Disponibile per: OS X Mavericks 10.9.5
Impatto: un utente con una posizione privilegiata in rete può causare un DoS (Denial of Service).
Descrizione: si verificava una race condition nella gestione dei pacchetti Ipv6. Questo problema è stato risolto attraverso un migliore controllo dello stato di blocco.
CVE-ID
CVE-2011-2391
Kernel
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: le applicazioni dannose o compromesse possono riuscire a rilevare gli indirizzi nel kernel.
Descrizione: si verificava un problema di divulgazione delle informazioni nella gestione delle API correlate alle estensioni del kernel. Le risposte contenenti un codice OSBundleMachOHeaders possono includere indirizzi kernel in grado di ignorare la protezione ASLR (Address Space Layout Randomization, randomizzazione dello spazio degli indirizzi). Il problema viene risolto sbloccando gli indirizzi prima della loro restituzione.
CVE-ID
CVE-2014-4491 : @PanguTeam, Stefan Esser
Kernel
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di convalida nella gestione di alcuni campi metadati di oggetti IOSharedDataQueue. Il problema è stato risolto attraverso il riposizionamento dei metadati.
CVE-ID
CVE-2014-4461 : @PanguTeam
LaunchServices
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un file JAR dannoso potrebbe bypassare i controlli di Gatekeeper.
Descrizione: si verificava un problema nella gestione degli avvii delle applicazioni che consentiva ad alcuni file JAR dannosi di bypassare i controlli Gatekeeper. Il problema è stato risolto migliorando la gestione dei metadati dei tipi di file.
CVE-ID
CVE-2014-8826 : Hernan Ochoa di Amplia Security
libnetcore
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un'app dannosa in modalità sandbox può compromettere il daemon networkd.
Descrizione: si verificavano diversi problemi di confusione dei tipi nella gestione della comunicazione tra processi da parte di networkd. Inviando un messaggio con formato pericoloso a networkd, è possibile eseguire codice arbitrario come processo di networkd. Il problema è stato risolto attraverso un ulteriore controllo dei tipi.
CVE-ID
CVE-2014-4492 : Ian Beer di Google Project Zero
LoginWindow
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un Mac può non bloccarsi immediatamente alla riattivazione.
Descrizione: si verificava un problema nel rendering della schermata di blocco. Il problema è stato risolto migliorando il rendering dello schermo mentre è bloccato.
CVE-ID
CVE-2014-8827 : Xavier Bertels di Mono e diversi seed testers OS X
lukemftp
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: l'utilizzo dello strumento ftp dalla riga di comando per recuperare file da un server http dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di command injection nella gestione dei reindirizzamenti HTTP. Questo problema è stato risolto attraverso una migliore convalida dei caratteri speciali.
CVE-ID
CVE-2014-8517
ntpd
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: l'utilizzo del daemon ntp con l'autenticazione crittografica abilitata può causare fughe di informazioni
Descrizione: si verificavano diversi problemi di convalida dell'input in ntpd Questi problemi sono stati risolti attraverso una migliore convalida dell'input.
CVE-ID
CVE-2014-9297
OpenSSL
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: diverse vulnerabilità in OpenSSL 0.9.8za, tra cui una che potrebbe consentire a un utente malintenzionato di eseguire il downgrade delle connessioni per utilizzare suite di crittografia più deboli nelle applicazioni che utilizzano la libreria.
Descrizione: erano presenti diverse vulnerabilità in OpenSSL 0.9.8za. Questi problemi sono stati risolti aggiornando OpenSSL alla versione 0.9.8zc.
CVE-ID
CVE-2014-3566
CVE-2014-3567
CVE-2014-3568
Sandbox
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Impatto: un processo in modalità sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: si verificava un problema di progettazione nella cache dei profili sandbox che consentiva alle applicazioni sandbox di ottenere l'accesso in scrittura alla cache. Il problema è stato risolto limitando l'accesso in scrittura ai percorsi contenenti un segmento "com.apple.sandbox". Il problema non interessa i sistemi OS X Yosemite 10.10 o versioni successive.
CVE-ID
CVE-2014-8828 : Apple
SceneKit
Disponibile per OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Impatto: un'applicazione dannosa può eseguire codice arbitrario compromettendo le informazioni dell'utente.
Descrizione: si verificavano diversi problemi di scrittura al di fuori dei limiti in SceneKit. che sono stati risolti attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-8829 : Jose Duart del Google Security Team
SceneKit
Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: la visualizzazione di un file Collada dannoso può comportare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer di heap nella gestione dei file Collada da parte di SceneKit. La visualizzazione di un file Collada dannoso può aver causato una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto attraverso una migliore convalida degli elementi accessori.
CVE-ID
CVE-2014-8830: Jose Duart di Google Security Team
Security
Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un'applicazione scaricata firmata con un certificato ID sviluppatore revocato può bypassare i controlli Gatekeeper.
Descrizione: si verificava un problema relativo alla modalità di valutazione delle informazioni sul certificato dell'applicazione memorizzata nella cache. Il problema è stato risolto con miglioramenti alla logica della cache.
CVE-ID
CVE-2014-8838 : Apple
security_taskgate
Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un'app può accedere a elementi portachiavi appartenenti ad altre app.
Descrizione: si verificava un problema di controllo dell'accesso nel portachiavi. Le applicazioni firmate con certificati autofirmati o ID sviluppatore potevano accedere agli elementi del portachiavi i cui elenchi di controllo degli accessi erano basati su gruppi di portachiavi. Il problema è stato risolto convalidando l'identità della firma quando si concede l'accesso ai gruppi di portachiavi.
CVE-ID
CVE-2014-8831 : Apple
Spotlight
Disponibile per: OS X Yosemite 10.10 e 10.10.1
Impatto: il mittente di un'email potrebbe determinare l'indirizzo IP del destinatario.
Descrizione: Spotlight non verificava lo stato dell'impostazione "Carica contenuto remoto dei messaggi" di Mail. Il problema è stato risolto migliorando il controllo della configurazione.
CVE-ID
CVE-2014-8839 : John Whitehead del New York Times, Frode Moe di LastFriday.no
Spotlight
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: Spotlight può salvare informazioni impreviste su un disco rigido esterno.
Descrizione: si verificava un problema in Spotlight in cui il contenuto della memoria poteva essere scritto su dischi rigidi esterni durante l'indicizzazione. Il problema è stato risolto con una migliore gestione della memoria.
CVE-ID
CVE-2014-8832 : F-Secure
SpotlightIndex
Disponibile per: OS X Yosemite 10.10 e 10.10.1
Impatto: Spotlight può visualizzare risultati per file non appartenenti all'utente.
Descrizione: si verificava un problema di deserializzazione nella gestione delle cache delle autorizzazioni da parte di Spotlight. A un utente che esegue una query Spotlight potrebbero essere mostrati risultati di ricerca che fanno riferimento a file per i quali non dispone di sufficienti privilegi di lettura. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-8833 : David J Peacock, Independent Technology Consultant
sysmond
Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1
Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi root.
Descrizione: in sysmond era presente una vulnerabilità legata alla confusione dei tipi che consentiva a un'applicazione locale di aumentare i privilegi. Il problema è stato risolto migliorando il controllo dei tipi.
CVE-ID
CVE-2014-8835 : Ian Beer di Google Project Zero
UserAccountUpdater
Disponibile: OS X Yosemite 10.10 e 10.10.1
Impatto: i file delle preferenze relativi alla stampa possono contenere informazioni riservate sui documenti PDF.
Descrizione: OS X Yosemite 10.10 ha risolto un problema nella gestione dei file PDF protetti da password creati dalla finestra di dialogo Stampa in cui le password potevano essere incluse nei file delle preferenze di stampa. Questo aggiornamento rimuove le informazioni estranee che potrebbero essere presenti nei file delle preferenze di stampa.
CVE-ID
CVE-2014-8834 : Apple
Nota: OS X Yosemite 10.10.2 include i contenuti di sicurezza di Safari 8.0.3.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.