Informazioni sul contenuto di sicurezza di OS X Yosemite 10.10.2 e dell'aggiornamento di sicurezza 2015-001

In questo documento viene descritto il contenuto di sicurezza di OS X Yosemite 10.10.2 e dell'aggiornamento di sicurezza 2015-001.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.

OS X Yosemite 10.10.2 e aggiornamento di sicurezza 2015-001

  • Server AFP

    Disponibile per: OS X Mavericks 10.9.5

    Impatto: un malintenzionato collegato in remoto può determinare tutti gli indirizzi di rete del sistema.

    Descrizione: il file server AFP supporta un comando che restituisce tutti gli indirizzi di rete del sistema. Questo problema viene risolto rimuovendo gli indirizzi dal risultato.

    CVE-ID

    CVE-2014-4426: Craig Young di Tripwire VERT

  • bash

    Disponibile per: OS X Yosemite 10.10 e 10.10.1

    Impatto: diverse vulnerabilità in bash, inclusa una che può consentire a malintenzionati locali di eseguire codice arbitrario.

    Descrizione: si verificano diverse vulnerabilità in bash. Questi problemi vengono risolti aggiornando bash al livello patch 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un errore di signedness di numeri interi in IOBluetoothFamily che consente la manipolazione della memoria del kernel. Questo problema viene risolto attraverso un migliore controllo dei limiti. Il problema non riguarda i sistemi OS X Yosemite.

    CVE-ID

    CVE-2014-4497

  • Bluetooth

    Disponibile per: OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un errore nel driver Bluetooth che consente a un'applicazione dannosa di controllare le dimensioni di un'operazione di scrittura nella memoria del kernel. Questo problema viene risolto tramite una convalida aggiuntiva dell'input.

    CVE-ID

    CVE-2014-8836: Ian Beer di Google Project Zero

  • Bluetooth

    Disponibile per: OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificano diversi problemi di sicurezza nel driver Bluetooth che consentono a un'applicazione dannosa di eseguire codice arbitrario con privilegi di sistema. Questi problemi vengono risolti tramite una convalida aggiuntiva dell'input.

    CVE-ID

    CVE-2014-8837: Roberto Paleari e Aristide Fattori di Emaze Networks

  • CFNetwork Cache

    Disponibile per: OS X Yosemite 10.10 e 10.10.1

    Impatto: la cache di un sito web può non risultare totalmente cancellata dopo aver lasciato una sessione di navigazione in modalità privata.

    Descrizione: si verifica un problema di privacy per cui i dati di navigazione potrebbero rimanere nella cache dopo aver lasciato una sessione di navigazione in modalità privata. Questo problema viene risolto modificando il comportamento della cache.

    CVE-ID

    CVE-2014-4460

  • CoreGraphics

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow di numeri interi nella gestione dei file PDF. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano di Binamuse VRT tramite l'iSIGHT Partners GVP Program

  • Software della CPU

    Disponibile per: OS X Yosemite 10.10 e 10.10.1 per MacBook Pro Retina, MacBook Air (metà 2013 e versioni più recenti), iMac (fine 2013 e versioni più recenti), Mac Pro (fine 2013)

    Impatto: un dispositivo Thunderbolt dannoso può influire sull'aggiornamento del firmware.

    Descrizione: i dispositivi Thunderbolt possono modificare il firmware dell'host se collegati durante un aggiornamento EFI. Questo problema viene risolto non caricando le ROM facoltative durante gli aggiornamenti.

    CVE-ID

    CVE-2014-4498: Trammell Hudson di Two Sigma Investments

  • CommerceKit Framework

    Disponibile per: OS X Yosemite 10.10 e 10.10.1

    Impatto: un malintenzionato con accesso a un sistema può recuperare le credenziali dell'ID Apple.

    Descrizione: si verifica un problema nella gestione dei resoconti di App Store. Il processo di App Store può registrare le credenziali dell'ID Apple nel resoconto quando viene abilitata la registrazione aggiuntiva. Questo problema viene risolto non consentendo la registrazione delle credenziali.

    CVE-ID

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    Disponibile per: OS X Yosemite 10.10 e 10.10.1

    Impatto: alcune applicazioni di terze parti con eventi mouse e di testo non sicuri possono registrare tali eventi.

    Descrizione: a causa della combinazione di una variabile non inizializzata e dell'allocatore personalizzato di un'applicazione, possono essere registrati eventi mouse e di testo non sicuri. Questo problema viene risolto assicurando la disattivazione di default della registrazione. Il problema non riguarda i sistemi precedenti a OS X Yosemite.

    CVE-ID

    CVE-2014-1595: Steven Michaud Mozilla in collaborazione con Kent Howard

  • CoreGraphics

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un danneggiamento della memoria nella gestione dei file PDF. Questo problema viene risolto attraverso un migliore controllo dei limiti. Il problema non riguarda i sistemi OS X Yosemite.

    CVE-ID

    CVE-2014-8816: Mike Myers di Digital Operatives LLC

  • CoreSymbolication

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificano diversi problemi di confusione dei tipi nella gestione da parte di coresymbolicationd dei messaggi XPC. Questi problemi vengono risolti attraverso un migliore controllo dei tipi.

    CVE-ID

    CVE-2014-8817: Ian Beer di Google Project Zero

  • FontParser

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: l'elaborazione di un file .dfont dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei file .dfont. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah collaboratore della Zero Day Initiative di HP

  • FontParser

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer nella gestione dei file font. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4483: Apple

  • Foundation

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: la visualizzazione di un file XML dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nel parser XML. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4485: Apple

  • Intel Graphics Driver

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: si verificano diverse vulnerabilità in Intel Graphics Driver.

    Descrizione: si verificano diverse vulnerabilità in Intel Graphics Driver, la più seria delle quali può causare l'esecuzione di codice arbitrario con privilegi di sistema. Questo aggiornamento risolve i problemi attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-8819: Ian Beer di Google Project Zero

    CVE-2014-8820: Ian Beer di Google Project Zero

    CVE-2014-8821: Ian Beer di Google Project Zero

  • IOAcceleratorFamily

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore null nella gestione da parte di IOAcceleratorFamily di alcuni tipi di client utente IOService. Questo problema viene risolto attraverso una migliore convalida dei contesti di IOAcceleratorFamily.

    CVE-ID

    CVE-2014-4486: Ian Beer di Google Project Zero

  • IOHIDFamily

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un overflow del buffer in IOHIDFamily. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di convalida nella gestione da parte di IOHIDFamily dei metadati della coda delle risorse. Questo problema viene risolto attraverso una migliore convalida dei metadati.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore null nella gestione da parte di IOHIDFamily delle code di eventi. Questo problema viene risolto attraverso una migliore convalida dell'inizializzazione della coda di eventi di IOHIDFamily.

    CVE-ID

    CVE-2014-4489: @beist

  • IOHIDFamily

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: l'esecuzione di un'applicazione dannosa può causare l'esecuzione di codice arbitrario nel kernel.

    Descrizione: si verifica un problema di controllo dei limiti in un client utente fornito dal driver IOHIDFamily che consente a un'applicazione dannosa di sovrascrivere parti arbitrarie dell'indirizzo del kernel. Questo problema viene risolto rimuovendo il metodo client utente vulnerabile.

    CVE-ID

    CVE-2014-8822: Vitaliy Toropov collaboratore della Zero Day Initiative di HP

  • IOKit

    Disponibile per: OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un overflow di numeri interi nella gestione delle funzioni di IOKit. Questo problema viene risolto mediante una migliore convalida degli argomenti API con IOKit.

    CVE-ID

    CVE-2014-4389: Ian Beer di Google Project Zero

  • IOUSBFamily

    Disponibile per: OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione privilegiata può leggere dati arbitrari dalla memoria del kernel.

    Descrizione: si verifica un problema relativo all'accesso alla memoria nella gestione delle funzioni del client utente del controller IOUSB. Questo problema viene risolto attraverso una migliore convalida dell'argomento.

    CVE-ID

    CVE-2014-8823: Ian Beer di Google Project Zero

  • Kerberos

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: la libreria libgssapi Kerberos ha fornito un token di contesto con un puntatore pendente. Questo problema viene risolto migliorando la gestione dello stato.

    CVE-ID

    CVE-2014-5352

  • Kernel

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: la specificazione di una modalità cache personalizzata consente la scrittura sui segmenti di memoria condivisa del kernel di sola lettura. Questo problema viene risolto non concedendo autorizzazioni di scrittura come effetto collaterale di alcune modalità cache personalizzate.

    CVE-ID

    CVE-2014-4495: Ian Beer di Google Project Zero

  • Kernel

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di convalida nella gestione di alcuni campi metadati di oggetti IODataQueue. Questo problema viene risolto attraverso una migliore convalida dei metadati.

    CVE-ID

    CVE-2014-8824: @PanguTeam

  • Kernel

    Disponibile per: OS X Yosemite 10.10 e 10.10.1

    Impatto: un malintenzionato locale può eseguire lo spoofing delle risposte del servizio di directory al kernel, acquisire privilegi più elevati oppure ottenere l'esecuzione del kernel.

    Descrizione: si verificano problemi nella convalida identitysvc del processo di risoluzione del servizio di directory, della gestione del tag e della gestione dell'errore. Questo problema viene risolto attraverso una migliore convalida.

    CVE-ID

    CVE-2014-8825: Alex Radocea di CrowdStrike

  • Kernel

    Disponibile per: OS X Yosemite 10.10 e 10.10.1

    Impatto: un utente locale può determinare il layout della memoria del kernel.

    Descrizione: si verificano diversi problemi relativi alla memoria non inizializzata nell'interfaccia delle statistiche di rete che comportano la divulgazione dei contenuti della memoria del kernel. Questo problema viene risolto attraverso un'ulteriore inizializzazione della memoria.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna del Google Security Team

    CVE-2014-4419: Fermin J. Serna del Google Security Team

    CVE-2014-4420: Fermin J. Serna del Google Security Team

    CVE-2014-4421: Fermin J. Serna del Google Security Team

  • Kernel

    Disponibile per: OS X Mavericks 10.9.5

    Impatto: un utente con una posizione privilegiata in rete può causare un DoS (Denial of Service).

    Descrizione: si verifica una condizione critica nella gestione dei pacchetti IPv6. Questo problema viene risolto attraverso un migliore controllo dello stato di blocco.

    CVE-ID

    CVE-2011-2391

  • Kernel

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: le applicazioni dannose o compromesse possono riuscire a rilevare gli indirizzi nel kernel.

    Descrizione: si verifica un problema di gestione delle API collegate alle estensioni del kernel che causa la divulgazione di informazioni. Le risposte contenenti un codice OSBundleMachOHeaders possono includere indirizzi kernel in grado di bypassare la protezione ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi). Questo problema viene risolto sbloccando gli indirizzi prima della loro restituzione.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di convalida nella gestione di alcuni campi metadati di oggetti IOSharedDataQueue. Questo problema viene risolto attraverso il trasferimento dei metadati.

    CVE-ID

    CVE-2014-4461: @PanguTeam

  • LaunchServices

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un file JAR dannoso può bypassare i controlli Gatekeeper.

    Descrizione: si verifica un problema nella gestione degli avvii delle applicazioni che consente ad alcuni file JAR dannosi di bypassare i controlli Gatekeeper. Questo problema viene risolto attraverso una migliore gestione dei metadati del tipo di file.

    CVE-ID

    CVE-2014-8826: Hernan Ochoa di Amplia Security

  • libnetcore

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un'app sandboxed dannosa può compromettere il daemon networkd.

    Descrizione: si verificano diversi problemi di confusione dei tipi nella gestione da parte di networkd della comunicazione interprocesso. Inviando un messaggio con formato dannoso a networkd, è possibile eseguire codice arbitrario come processo di networkd. Questo problema viene risolto attraverso un ulteriore controllo dei tipi.

    CVE-ID

    CVE-2014-4492: Ian Beer di Google Project Zero

  • LoginWindow

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un Mac non può bloccarsi immediatamente quando si riattiva.

    Descrizione: si verifica un problema nel rendering dello schermo bloccato. Questo problema viene risolto migliorando il rendering dello schermo mentre è bloccato.

    CVE-ID

    CVE-2014-8827: Xavier Bertels di Mono e altri tester della seed di OS X

  • lukemftp

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: l'uso dello strumento ftp della riga di comando per ottenere file da un server http dannoso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di command injection nella gestione dei reindirizzamenti HTTP. Questo problema viene risolto attraverso una migliore convalida dei caratteri speciali.

    CVE-ID

    CVE-2014-8517

  • ntpd

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: l'uso del daemon ntp con l'autenticazione crittografica abilitata può causare la divulgazione di informazioni.

    Descrizione: si verificano diversi problemi relativi alla convalida dell'input in ntpd. Questi problemi vengono risolti attraverso una migliore convalida dei dati.

    CVE-ID

    CVE-2014-9297

  • OpenSSL

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: diverse vulnerabilità in OpenSSL 0.9.8za, inclusa una che consente a un malintenzionato di eseguire il downgrade delle connessioni in modo da usare suite di crittografia meno sicure nelle applicazioni che usano la libreria.

    Descrizione: si verificano diverse vulnerabilità in OpenSSL 0.9.8za. Questi problemi vengono risolti aggiornando OpenSSL alla versione 0.9.8zc.

    CVE-ID

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandbox

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impatto: un processo sandboxed può essere in grado di eludere le restrizioni della sandbox.

    Descrizione: si verifica un problema di progettazione nella cache dei profili della sandbox che consente alle applicazioni sandboxed di ottenere accesso in scrittura alla cache. Questo problema viene risolto limitando l'accesso in scrittura ai percorsi contenenti un segmento "com.apple.sandbox" e non riguarda i sistemi OS X Yosemite 10.10 o versioni più recenti.

    CVE-ID

    CVE-2014-8828: Apple

  • SceneKit

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impatto: un'applicazione dannosa può eseguire codice arbitrario compromettendo le informazioni dell'utente.

    Descrizione: si verifica un problema di scrittura fuori dai limiti in SceneKit. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-8829: Jose Duart del Google Security Team

  • SceneKit

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: la visualizzazione di un file Collada dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer di heap nella gestione dei file Collada. La visualizzazione di un file Collada dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore convalida degli elementi della funzione di accesso.

    CVE-ID

    CVE-2014-8830: Jose Duart del Google Security Team

  • Sicurezza

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione scaricata firmata con un certificato Developer ID revocato può superare i controlli Gatekeeper.

    Descrizione: si verifica un problema relativo al modo in cui le informazioni del certificato dell'applicazione memorizzate nella cache vengono valutate. Questo problema viene risolto migliorando la logica di memorizzazione nella cache.

    CVE-ID

    CVE-2014-8838: Apple

  • security_taskgate

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un'app può accedere a elementi del portachiavi appartenenti ad altre app.

    Descrizione: si verifica un problema relativo al controllo dell'accesso nel portachiavi. Le applicazioni firmate con certificati Developer ID o autofirmati possono accedere agli elementi del portachiavi i cui elenchi controllo accessi si basano su gruppi di portachiavi. Questo problema viene risolto attraverso la convalida dell'identità registrata quando viene concesso l'accesso ai gruppi di portachiavi.

    CVE-ID

    CVE-2014-8831 : Apple

  • Spotlight

    Disponibile per: OS X Yosemite 10.10 e 10.10.1

    Impatto: il mittente di un messaggio email può determinare l'indirizzo IP del destinatario.

    Descrizione: Spotlight non controlla lo stato dell'impostazione "Carica contenuto remoto dei messaggi" di Mail. Questo problema viene risolto migliorando il controllo della configurazione.

    CVE-ID

    CVE-2014-8839: John Whitehead di The New York Times, Frode Moe di LastFriday.no

  • Spotlight

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: Spotlight può salvare informazioni impreviste su un disco rigido esterno.

    Descrizione: si verifica un problema in Spotlight in cui i contenuti della memoria possono venire scritti su un disco rigido durante l'indicizzazione. Questo problema viene risolto attraverso una migliore gestione della memoria.

    CVE-ID

    CVE-2014-8832: F-Secure

  • SpotlightIndex

    Disponibile per: OS X Yosemite 10.10 e 10.10.1

    Impatto: Spotlight può visualizzare risultati per file non appartenenti all'utente.

    Descrizione: si verifica un problema di deserializzazione nella gestione da parte di Spotlight delle cache di autorizzazione. Un utente che effettua una query di Spotlight può visualizzare risultati di ricerca che fanno riferimento a file per cui non dispone dei privilegi sufficienti per la lettura. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-8833: David J Peacock consulente tecnologico indipendente

  • sysmond

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi root.

    Descrizione: si verifica una vulnerabilità di confusione dei tipi in sysmod che consente a un'applicazione locale di acquisire privilegi più elevati. Questo problema viene risolto attraverso un migliore controllo dei tipi.

    CVE-ID

    CVE-2014-8835: Ian Beer di Google Project Zero

  • UserAccountUpdater

    Disponibile per: OS X Yosemite 10.10 e 10.10.1

    Impatto: i file delle preferenze relative alla stampa possono contenere informazioni sensibili relative ai documenti PDF.

    Descrizione: OS X Yosemite 10.10 risolve un problema nella gestione dei file PDF protetti da password e creati dalla finestra di dialogo di stampa in cui le password possono essere incluse nei file delle preferenze di stampa. Questo aggiornamento rimuove tali informazioni non necessarie che possono essere presenti nei file delle preferenze di stampa.

    CVE-ID

    CVE-2014-8834: Apple

Nota: OS X Yosemite 10.10.2 include il contenuto di sicurezza di Safari 8.0.3.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: