Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.
OS X Yosemite 10.10.3 e aggiornamento di sicurezza 2015-004
Admin Framework
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un processo può acquisire privilegi di amministratore senza eseguire correttamente l'autenticazione.
Descrizione: si verifica un problema durante il controllo delle idoneità XPC. Questo problema viene risolto con il controllo delle autorizzazioni migliorato.
ID CVE
CVE-2015-1130: Emil Kvarnhammar presso TrueSec
- Apache
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: sono presenti diverse vulnerabilità in Apache.
Descrizione: si verificano diverse vulnerabilità nelle versioni di Apache precedenti alla 2.4.10 e alla 2.2.29, inclusa una che consente a un malintenzionato collegato in remoto di eseguire codice arbitrario. Questi problemi vengono risolti aggiornando Apache alle versioni 2.4.10 e 2.2.29.
ID CVE
CVE-2013-5704
CVE-2013-6438
CVE-2014-0098
CVE-2014-0117
CVE-2014-0118
CVE-2014-0226
CVE-2014-0231
ATS
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificano diversi problemi relativi alla convalida dell'input in fontd. Questi problemi vengono risolti attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-1131: Ian Beer di Google Project Zero
CVE-2015-1132: Ian Beer di Google Project Zero
CVE-2015-1133: Ian Beer di Google Project Zero
CVE-2015-1134: Ian Beer di Google Project Zero
CVE-2015-1135: Ian Beer di Google Project Zero
Certificate Trust Policy
Impatto: è stato effettuato l'aggiornamento al Certificate Trust Policy.
Descrizione: il Certificate Trust Policy è stato aggiornato. Consulta l'elenco completo dei certificati.
CFNetwork HTTPProtocol
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: i cookie appartenenti a un'origine possono essere inviati a un'altra origine.
Descrizione: si verifica un problema relativo ai cookie tra domini nella gestione del reindirizzamento. I cookie impostati in una risposta di reindirizzamento possono passare a una destinazione di reindirizzamento appartenente a un'altra origine. Questo problema viene risolto attraverso una migliore gestione dei reindirizzamenti.
ID CVE
CVE-2015-1089: Niklas Keller (http://kelunik.com)
Sessione CFNetwork
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: le credenziali di autenticazione possono essere inviate a un server su un'altra origine.
Descrizione: si verifica un problema relativo alle intestazioni della richiesta HTTP tra domini nelle gestione del reindirizzamento. Le intestazioni della richiesta HTTP in una risposta di reindirizzamento possono passare a un'altra origine. Questo problema viene risolto attraverso una migliore gestione dei reindirizzamenti.
ID CVE
CVE-2015-1091: Diego Torres (http://dtorres.me)
CFURL
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: l'accesso a un sito web dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema relativo alla convalida dell'input nell'elaborazione degli URL. Questo problema viene risolto attraverso una migliore convalida dell'URL.
ID CVE
CVE-2015-1088: Luigi Galli
CoreAnimation
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: l'accesso a un sito web dannoso può causare l'esecuzione di codice arbitrario.
Impatto: si verifica un problema di tipo use-after-free in CoreAnimation. Questo problema viene risolto attraverso una migliore gestione del mutex.
ID CVE
CVE-2015-1136: Apple
FontParser
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: l'elaborazione di un file font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di danneggiamento della memoria nell'elaborazione dei file font. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-1093: Marc Schoenefeld
Driver della scheda grafica
Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore NULL nella gestione dei driver della scheda grafica NVIDIA di alcuni tipi di client utente IOService. Questo problema viene risolto migliorando la convalida del contesto.
ID CVE
CVE-2015-1137: Frank Graziano e John Villamil del Yahoo Pentest Team
Hypervisor
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un'applicazione locale può causare un DoS ("Denial of Service").
Descrizione: si verifica un problema relativo alla convalida dell'input nel framework dell'hypervisor. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-1138: Izik Eidus e Alex Fishman
ImageIO
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: l'elaborazione di un file .sgi dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei file .sgi. Questo problema viene risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-1139: Apple
IOHIDFamily
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un dispositivo HID dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria in un'API IOHIDFamily. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-1095: Andrew Church
IOHIDFamily
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un overflow del buffer in IOHIDFamily. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-1140: lokihardt@ASRT, collaboratore di Zero Day Initiative di HP, Luca Todesco, Vitaliy Toropov, collaboratore di Zero Day Initiative (ZDI) di HP
IOHIDFamily
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un utente locale può determinare il layout della memoria del kernel.
Descrizione: si verifica un problema in IOHIDFamily che causa la divulgazione dei contenuti della memoria del kernel. Questo problema viene risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-1096: Ilja van Sprundel di IOActive
IOHIDFamily
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un overflow del buffer della memoria heap nella gestione delle proprietà di mappatura dei tasti da parte di IOHIDFamily. Questo problema viene risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-4404: Ian Beer di Google Project Zero
IOHIDFamily
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore null nella gestione delle proprietà di mappatura dei tasti da parte di IOHIDFamily. Questo problema viene risolto attraverso una migliore convalida delle proprietà di mappatura dei tasti di IOHIDFamily.
ID CVE
CVE-2014-4405: Ian Beer di Google Project Zero
IOHIDFamily
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Impatto: un utente può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema relativo alla scrittura non nei limiti nel driver IOHIDFamily. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2014-4380: cunzhang di Adlab di Venustech
Kernel
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un utente locale può causare l'arresto imprevisto del sistema.
Descrizione: si verifica un problema nella gestione delle operazioni di memoria virtuale nel kernel. Questo problema viene risolto attraverso una migliore gestione dell'operazione mach_vm_read.
ID CVE
CVE-2015-1141: Ole Andre Vadla Ravnas di www.frida.re
Kernel
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un utente locale può causare un DoS ("Denial of Service").
Descrizione: si verifica una condizione critica nella chiamata di sistema setreuid del kernel. Questo problema viene risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2015-1099: Mark Mentovai di Google Inc.
Kernel
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un'applicazione locale può superare i privilegi tramite un servizio compromesso destinato all'esecuzione con privilegi ridotti.
Descrizione: le chiamate di sistema setreuid e setregid non riescono a rimuovere in modo permanente i privilegi. Questo problema viene risolto rimuovendo correttamente i privilegi.
ID CVE
CVE-2015-1117: Mark Mentovai di Google Inc.
Kernel
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un malintenzionato con una posizione privilegiata in rete può reindirizzare il traffico utente a host arbitrari.
Descrizione: in OS X sono abilitati di default i reindirizzamenti ICMP. Questo problema viene risolto disabilitando i reindirizzamenti ICMP.
ID CVE
CVE-2015-1103: Zimperium Mobile Security Labs
Kernel
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un malintenzionato con una posizione privilegiata in rete può causare un DoS ("Denial of Service").
Descrizione: si verifica un comportamento non coerente dello stato nell'elaborazione delle intestazioni TCP. Questo problema viene risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2015-1102: Andrey Khudyakov e Maxim Zhuravlev di Kaspersky Lab
Kernel
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: si verifica un problema di accesso alla memoria fuori dai limiti nel kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-1100: Maxime Villard di m00nbsd
Kernel
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un malintenzionato collegato in remoto può bypassare i filtri di rete.
Descrizione: il sistema tratta alcuni pacchetti IPv6 da rete remota come fossero pacchetti locali. Questo problema viene risolto rifiutando tali pacchetti.
ID CVE
CVE-2015-1104: Stephen Roettger del Google Security Team
Kernel
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un utente locale può eseguire codice arbitrario con privilegi kernel.
Descrizione: si verifica un problema di danneggiamento della memoria nel kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-1101: lokihardt@ASRT, collaboratore della Zero Day Initiative di HP
Kernel
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un malintenzionato collegato in remoto può causare un DoS ("Denial of Service").
Descrizione: si verifica un comportamento non coerente dello stato nella gestione dei dati fuori banda TCP. Questo problema viene risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2015-1105: Kenton Varda di Sandstorm.io
LaunchServices
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un utente locale può causare il crash del Finder.
Descrizione: si verifica un problema relativo alla convalida dell'input nella gestione dei dati di localizzazione dell'applicazione da parte di LaunchService. Questo problema viene risolto attraverso una migliore convalida dei dati di localizzazione.
ID CVE
CVE-2015-1142
LaunchServices
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di confusione dei tipi nella gestione delle stringhe localizzate da parte di LaunchServices. Questo problema viene risolto migliorando il controllo dei limiti.
ID CVE
CVE-2015-1143: Apple
libnetcore
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: l'elaborazione di un profilo di configurazione dannoso può causare la chiusura improvvisa dell'applicazione.
Descrizione: si verifica un problema di corruzione della memoria nella gestione dei profili di configurazione. Questo problema viene risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang e Tao Wei di FireEye, Inc.
ntp
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un malintenzionato collegato in remoto può forzare le chiavi di autenticazione ntpd.
Descrizione: quando la chiave di autenticazione non è configurata, la funzione config_auth in ntpd genera una chiave debole. Questo problema viene risolto attraverso una migliore generazione della chiave.
ID CVE
CVE-2014-9298
OpenLDAP
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un client non autenticato e collegato in remoto può causare un DoS ("Denial of Service").
Descrizione: si verificano diversi problemi relativi alla convalida dell'input in OpenLDAP. Questi problemi vengono risolti attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-1545: Ryan Tandy
CVE-2015-1546: Ryan Tandy
OpenSSL
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: si verificano diverse vulnerabilità in OpenSSL.
Descrizione: si verificano diverse vulnerabilità in OpenSSL 0.9.8zc, inclusa una che può consentire a un malintenzionato di intercettare le connessioni a un server che supporta la crittografia di tipo export-grade. Questi problemi vengono risolti aggiornando OpenSSL alla versione 0.9.8zd.
ID CVE
CVE-2014-3569
CVE-2014-3570
CVE-2014-3571
CVE-2014-3572
CVE-2014-8275
CVE-2015-0204
Client Open Directory
Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: può essere inviata una password non crittografata su una rete quando è in uso Open Directory da OS X Server.
Descrizione: se un client Open Directory è collegato a OS X Server ma non installa i certificati di OS X Server e un utente di tale client modifica la password, la richiesta di modifica della password viene inviata senza crittografia su una rete. Questo problema viene risolto facendo in modo che il client richieda la crittografia in una situazione simile.
ID CVE
CVE-2015-1147: Apple
PHP
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: diverse vulnerabilità in PHP.
Descrizione: si verificano diverse vulnerabilità nelle versioni di PHP precedenti alla 5.3.29, alla 5.4.38 e alla 5.5.20, inclusa una che può causare l'esecuzione di codice arbitrario. Questo problema viene risolto aggiornando PHP alle versioni 5.3.29, 5.4.38 e 5.5.20.
ID CVE
CVE-2013-6712
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-2497
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3538
CVE-2014-3587
CVE-2014-3597
CVE-2014-3668
CVE-2014-3669
CVE-2014-3670
CVE-2014-3710
CVE-2014-3981
CVE-2014-4049
CVE-2014-4670
CVE-2014-4698
CVE-2014-5120
QuickLook
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: l'apertura di un file iWork dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un danneggiamento della memoria nella gestione dei file iWork. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-1098: Christopher Hickstein
SceneKit
Disponibile per: OS X Mountain Lion 10.8.5
Impatto: la visualizzazione di un file Collada dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer della memoria heap nella gestione dei file Collada da parte SceneKit. La visualizzazione di un file Collada dannoso può causare l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore convalida degli elementi della funzione di accesso.
ID CVE
CVE-2014-8830: Jose Duart del Google Security Team
Condivisione dello schermo
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: la password dell'utente può essere registrata su un file locale.
Descrizione: in alcune situazioni Condivisione schermo può registrare una password utente non leggibile dagli altri utenti sul sistema. Questo problema viene risolto rimuovendo la registrazione delle credenziali.
ID CVE
CVE-2015-1148: Apple
Sicurezza - Firma del codice
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: l'avvio delle applicazioni manomesse può non essere impedito.
Descrizione: le applicazioni contenenti pacchetti appositi possono essere avviate senza una firma totalmente valida. Questo problema viene risolto aggiungendo ulteriori verifiche.
ID CVE
CVE-2015-1145
CVE-2015-1146
UniformTypeIdentifiers
Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un overflow del buffer nel modo in cui vengono gestiti gli Uniform Type Identifier. Questo problema viene risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-1144: Apple
WebKit
Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2
Impatto: l'accesso a un sito web dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria in WebKit. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-1069: lokihardt@ASRT, collaboratore della Zero Day Initiative di HP
L'aggiornamento di sicurezza 2015-004 (disponibile per OS X Mountain Lion 10.8.5 e OS X Mavericks 10.9.5) risolve anche un problema causato da una correzione per il CVE-2015-1067 nell'aggiornamento di sicurezza 2015-002. Questo problema impediva ai client Apple Event remoti di qualsiasi versione di connettersi al server Apple Event remoti. Nelle configurazioni di default gli Apple Event remoti non sono abilitati.
OS X Yosemite 10.10.3 include il contenuto di sicurezza di Safari 8.0.5.