Informazioni sul contenuto di sicurezza di OS X Mavericks 10.9.5 e sull'aggiornamento di sicurezza 2014-004

In questo documento viene descritto il contenuto di sicurezza di OS X Mavericks 10.9.5 e dell'aggiornamento di sicurezza 2014-004.

Questo aggiornamento può essere scaricato e installato tramite Aggiornamento Software oppure dal sito web del supporto Apple.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.

Nota: OS X Mavericks 10.9.5 include il contenuto di sicurezza di Safari 7.0.6.

OS X Mavericks 10.9.5 e aggiornamento di sicurezza 2014-004

  • apache_mod_php

    Disponibile per: OS X Mavericks da 10.9 a 10.9.4

    Impatto: più vulnerabilità in PHP 5.4.24.

    Descrizione: si verificavano più vulnerabilità in PHP 5.4.24, la più grave delle quali poteva portare all'esecuzione di codice arbitrario. Questo aggiornamento risolve i problemi aggiornando PHP alla versione 5.4.30.

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Disponibile per: OS X Mavericks da 10.9 a 10.9.4

    Impatto: un'applicazione dannosa può essere in grado di eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificava un problema di convalida nella gestione di una chiamata API Bluetooth. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4390: Ian Beer di Google Project Zero

  • CoreGraphics

    Disponibile per: OS X Mavericks da 10.9 a 10.9.4

    Impatto: l'apertura di un file PDF dannoso potrebbe causare una chiusura improvvisa dell'applicazione o la divulgazione di informazioni.

    Descrizione: si è verificato un problema di lettura della memoria fuori dai limiti nella gestione dei file PDF. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano di Binamuse VRT in collaborazione con iSIGHT Partners GVP Program

  • CoreGraphics

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4

    Impatto: l'apertura di un file PDF dannoso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow di numeri interi nella gestione dei file PDF. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4377 : Felipe Andres Manzano di Binamuse VRT in collaborazione con iSIGHT Partners GVP Program

  • Foundation

    Disponibile per: OS X Mavericks da 10.9 a 10.9.4

    Impatto: un'applicazione che utilizza NSXMLParser può essere usata in modo scorretto per divulgare le informazioni.

    Descrizione: si verificava un problema di entità XML esterne nella gestione dei contenuti XML da parte di NSXMLParser. Il problema è stato risolto non caricando entità esterne tra le origini.

    CVE-ID

    CVE-2014-4374: George Gal di VSR (http://www.vsecurity.com/)

  • Intel Graphics Driver

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4

    Impatto: la compilazione degli shader GLSL non attendibili può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer dello spazio utente nel compilatore di shader. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4393: Apple

  • Intel Graphics Driver

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4

    Impatto: un'applicazione dannosa può essere in grado di eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificavano diversi problemi di convalida in alcune routine integrate collegate ai driver della scheda grafica. che sono stati risolti attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4394: Ian Beer di Google Project Zero

    CVE-2014-4395: Ian Beer di Google Project Zero

    CVE-2014-4396: Ian Beer di Google Project Zero

    CVE-2014-4397: Ian Beer di Google Project Zero

    CVE-2014-4398: Ian Beer di Google Project Zero

    CVE-2014-4399: Ian Beer di Google Project Zero

    CVE-2014-4400: Ian Beer di Google Project Zero

    CVE-2014-4401: Ian Beer di Google Project Zero

    CVE-2014-4416: Ian Beer di Google Project Zero

  • IOAcceleratorFamily

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4

    Impatto: un'applicazione dannosa può essere in grado di eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificava una dereferenziazione del puntatore null nella gestione degli argomenti dell'API con IOKit. Questo problema è stato risolto mediante una migliore convalida degli argomenti API con IOKit.

    CVE-ID

    CVE-2014-4376: Ian Beer di Google Project Zero

  • IOAcceleratorFamily

    Disponibile per: OS X Mavericks da 10.9 a 10.9.4

    Impatto: un'applicazione dannosa può essere in grado di eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificava un problema di lettura non nei limiti nella gestione di una funzione IOAcceleratorFamily. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4402: Ian Beer di Google Project Zero

  • IOHIDFamily

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4

    Impatto: un utente locale può leggere i puntatori del kernel, che possono essere utilizzati per aggirare la randomizzazione del layout dello spazio degli indirizzi del kernel.

    Descrizione: si verificava un problema di lettura non nei limiti nella gestione di una funzione IOHIDFamily. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4379: Ian Beer di Google Project Zero

  • IOKit

    Disponibile per OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4

    Impatto: un'applicazione dannosa può essere in grado di eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificava un problema di convalida nella gestione di alcuni campi metadati di oggetti IODataQueue. Il problema è stato risolto attraverso una migliore convalida dei metadati.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificava un overflow di numeri interi nella gestione delle funzioni di IOKit. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4389 : Ian Beer di Google Project Zero

  • Kernel

    Disponibile per: OS X Mavericks da 10.9 a 10.9.4

    Impatto: un utente locale può desumere gli indirizzi kernel e oltrepassare la funzione Address Space Layout Randomization (ASLR) del kernel.

    Descrizione: in alcuni casi la tabella dei descrittori globale della CPU veniva allocata a un indirizzo prevedibile. Questo problema viene risolto mediante l'allocazione della tabella dei descrittori globale a indirizzi casuali.

    CVE-ID

    CVE-2014-4403: Ian Beer di Google Project Zero

  • Libnotify

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4

    Impatto: un'applicazione dannosa può essere in grado di eseguire codice arbitrario con privilegi root.

    Descrizione: si verificava un problema di scrittura non nei limiti in Libnotify. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4381: Ian Beer di Google Project Zero

  • OpenSSL

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4

    Impatto: più vulnerabilità in OpenSSL 0.9.8y, una delle quali può comportare l'esecuzione di codice arbitrario.

    Descrizione: si verificavano più vulnerabilità in OpenSSL 0.9.8y. Questo problema viene risolto mediante l'aggiornamento di OpenSSL alla versione 0.9.8za.

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4

    Impatto: la riproduzione di un filmato pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei filmati con codifica RLE. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1391: Fernando Munoz in collaborazione con iDefense VCP, Tom Gallagher e Paul Bates in collaborazione con Zero Day Initiative di HP

  • QT Media Foundation

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4

    Impatto: la riproduzione di un file MIDI dannoso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione dei file MIDI. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4350: s3tm3m in collaborazione con Zero Day Initiative di HP

  • QT Media Foundation

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks da 10.9 a 10.9.4

    Impatto: la riproduzione di un filmato pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione degli atom “mvhd”. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4979: Andrea Micalizzi aKa rgod in collaborazione con Zero Day Initiative di HP

  • ruby

    Disponibile per: OS X Mavericks da 10.9 a 10.9.4

    Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer di heap nella gestione dei caratteri codificati con percentuale in un URI da parte di LibYAML. Il problema è stato risolto attraverso un migliore controllo dei limiti. Questi problemi sono stati risolti aggiornando LibYAML alla versione 0.1.6.

    CVE-ID

    CVE-2014-2525

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: