Informazioni sul contenuto di sicurezza di OS X Mavericks 10.9.5 e sull'aggiornamento di sicurezza 2014-004

In questo documento viene descritto il contenuto di sicurezza di OS X Mavericks 10.9.5 e dell'aggiornamento di sicurezza 2014-004.

Questo aggiornamento può essere scaricato e installato tramite Aggiornamento Software o tramite il sito web del supporto Apple.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.

Nota: OS X Mavericks 10.9.5 include il contenuto di sicurezza di Safari 7.0.6.

OS X Mavericks 10.9.5 e aggiornamento di sicurezza 2014-004

  • apache_mod_php

    Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: vengono rilevate diverse vulnerabilità in PHP 5.4.24

    Descrizione: in PHP 5.4.24 vengono rilevate diverse vulnerabilità, la più grave delle quali può comportare l'esecuzione di codice arbitrario. L'aggiornamento di PHP alla versione 5.4.30 consente di risolvere il problema.

    ID CVE

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema

    Descrizione: si verifica un problema di convalida nella gestione di una chiamata API Bluetooth. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2014-4390: Ian Beer di Google Project Zero

  • CoreGraphics

    Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: l'apertura di un file PDF pericoloso può causare la chiusura improvvisa dell'applicazione o la divulgazione di informazioni

    Descrizione: si verifica un problema di lettura della memoria fuori dai limiti nella gestione dei file PDF. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2014-4378: Felipe Andres Manzano di Binamuse VRT, collaboratore nell'ambito dell'iSIGHT Partners GVP Program

  • CoreGraphics

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: l'apertura di un documento PDF pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow di numeri interi nella gestione dei file PDF. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2014-4377: Felipe Andres Manzano di Binamuse VRT, collaboratore nell'ambito dell'iSIGHT Partners GVP Program

  • Foundation

    Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: un'applicazione che utilizza NSXMLParser può essere usata in modo scorretto per divulgare le informazioni

    Descrizione: si verifica un problema di entità XML esterne nella gestione dei contenuti XML da parte di NSXMLParser. Questo problema viene risolto non caricando entità esterne tra le origini.

    ID CVE

    CVE-2014-4374: George Gal di VSR (http://www.vsecurity.com/)

  • Intel Graphics Driver

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: la compilazione degli shader GLSL non attendibili può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer dello spazio utente nel compilatore di shader. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2014-4393: Apple

  • Intel Graphics Driver

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema

    Descrizione: si verificano diversi problemi di convalida in alcune routine integrate collegate ai driver della scheda grafica. Questi problemi sono stati risolti attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2014-4394: Ian Beer di Google Project Zero

    CVE-2014-4395: Ian Beer di Google Project Zero

    CVE-2014-4396: Ian Beer di Google Project Zero

    CVE-2014-4397: Ian Beer di Google Project Zero

    CVE-2014-4398: Ian Beer di Google Project Zero

    CVE-2014-4399: Ian Beer di Google Project Zero

    CVE-2014-4400: Ian Beer di Google Project Zero

    CVE-2014-4401: Ian Beer di Google Project Zero

    CVE-2014-4416: Ian Beer di Google Project Zero

  • IOAcceleratorFamily

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema

    Descrizione: la gestione degli argomenti API con IOKitsi presentava un problema di dereferenziazione del puntatore null. Questo problema è stato risolto mediante una migliore convalida degli argomenti API con IOKit.

    ID CVE

    CVE-2014-4376: Ian Beer di Google Project Zero

  • IOAcceleratorFamily

    Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema

    Descrizione: si verifica un problema di lettura non nei limiti nella gestione di una funzione IOAcceleratorFamily. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2014-4402: Ian Beer di Google Project Zero

  • IOHIDFamily

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: un utente collegato in locale può leggere i puntatori del kernel, che possono essere usati per oltrepassare la funzione Address Space Layout Randomization (ASLR)

    Descrizione: si verifica un problema di lettura non nei limiti nella gestione di una funzione IOHIDFamily. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2014-4379: Ian Beer di Google Project Zero

  • IOKit

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema

    Descrizione: si verifica un problema di convalida nella gestione di alcuni campi metadati di oggetti IODataQueue. Questo problema viene risolto attraverso una migliore convalida dei metadati.

    ID CVE

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema

    Descrizione: si verificava un overflow di numeri interi nella gestione delle funzioni di IOKit. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2014-4389: Ian Beer di Google Project Zero

  • Kernel

    Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: un utente collegato in locale può desumere gli indirizzi kernel e oltrepassare la funzione Address Space Layout Randomization (ASLR)

    Descrizione: in alcuni casi la tabella dei descrittori globale viene allocata a un indirizzo prevedibile. Questo problema viene risolto mediante l'allocazione della tabella dei descrittori globale a indirizzi casuali.

    ID CVE

    CVE-2014-4403: Ian Beer di Google Project Zero

  • Libnotify

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi root

    Descrizione: si verifica un problema di scrittura non nei limiti in Libnotify. Questo problema viene risolto attraverso un migliore controllo dei limiti

    ID CVE

    CVE-2014-4381: Ian Beer di Google Project Zero

  • OpenSSL

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: in OpenSSL 0.9.8y vengono rilevate diverse vulnerabilità, una delle quali può comportare l'esecuzione di codice arbitrario

    Descrizione: in OpenSSL 0.9.8y vengono rilevate diverse vulnerabilità. Questo problema viene risolto mediante l'aggiornamento di OpenSSL alla versione 0.9.8za.

    ID CVE

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: la riproduzione di un file di filmato pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei file di filmati codificati come RLE. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2014-1391: Fernando Munoz, collaboratore di iDefense VCP, Tom Gallagher e Paul Bates, collaboratori della Zero Day Initiative di HP

  • QT Media Foundation

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: la riproduzione di un file MIDI pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer nella gestione dei file MIDI. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2014-4350: s3tm3m, collaboratore della Zero Day Initiative di HP

  • QT Media Foundation

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: la riproduzione di un file di filmato pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione degli atom "mvhd". Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2014-4979: Andrea Micalizzi aKa rgod, collaboratore della Zero Day Initiative di HP

  • ruby

    Disponibile per: OS X Mavericks dalla versione 10.9 alla 10.9.4

    Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer di heap nella gestione dei caratteri codificati con percentuale in un URI da parte di LibYAML. Questo problema viene risolto attraverso un migliore controllo dei limiti. L'aggiornamento di LibYAML alla versione 0.1.6 consente di risolvere il problema.

    ID CVE

    CVE-2014-2525

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: