Informazioni sul contenuto di sicurezza OS X Yosemite 10.10.3 e dell'aggiornamento di sicurezza 2015-004

In questo documento viene descritto il contenuto di sicurezza di OS X Yosemite 10.10.3 e dell'aggiornamento di sicurezza 2015-004.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.

OS X Yosemite 10.10.3 e aggiornamento di sicurezza 2015-004

  • Admin Framework

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un processo può acquisire privilegi di amministratore senza eseguire correttamente l'autenticazione.

    Descrizione: si verifica un problema durante il controllo delle idoneità XPC. Questo problema viene risolto con il controllo delle autorizzazioni migliorato.

    ID CVE

    CVE-2015-1130: Emil Kvarnhammar presso TrueSec
     

  • Apache

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: sono presenti diverse vulnerabilità in Apache.

    Descrizione: si verificano diverse vulnerabilità nelle versioni di Apache precedenti alla 2.4.10 e alla 2.2.29, inclusa una che consente a un malintenzionato collegato in remoto di eseguire codice arbitrario. Questi problemi vengono risolti aggiornando Apache alle versioni 2.4.10 e 2.2.29.

    ID CVE

    CVE-2013-5704

    CVE-2013-6438

    CVE-2014-0098

    CVE-2014-0117

    CVE-2014-0118

    CVE-2014-0226

    CVE-2014-0231
  • ATS

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificano diversi problemi relativi alla convalida dell'input in fontd. Questi problemi vengono risolti attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-1131: Ian Beer di Google Project Zero

    CVE-2015-1132: Ian Beer di Google Project Zero

    CVE-2015-1133: Ian Beer di Google Project Zero

    CVE-2015-1134: Ian Beer di Google Project Zero

    CVE-2015-1135: Ian Beer di Google Project Zero

  • Certificate Trust Policy

    Impatto: è stato effettuato l'aggiornamento al Certificate Trust Policy.

    Descrizione: il Certificate Trust Policy è stato aggiornato. Consulta l'elenco completo dei certificati.

  • CFNetwork HTTPProtocol

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: i cookie appartenenti a un'origine possono essere inviati a un'altra origine.

    Descrizione: si verifica un problema relativo ai cookie tra domini nella gestione del reindirizzamento. I cookie impostati in una risposta di reindirizzamento possono passare a una destinazione di reindirizzamento appartenente a un'altra origine. Questo problema viene risolto attraverso una migliore gestione dei reindirizzamenti.

    ID CVE

    CVE-2015-1089: Niklas Keller (http://kelunik.com)

  • Sessione CFNetwork

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: le credenziali di autenticazione possono essere inviate a un server su un'altra origine.

    Descrizione: si verifica un problema relativo alle intestazioni della richiesta HTTP tra domini nelle gestione del reindirizzamento. Le intestazioni della richiesta HTTP in una risposta di reindirizzamento possono passare a un'altra origine. Questo problema viene risolto attraverso una migliore gestione dei reindirizzamenti.

    ID CVE

    CVE-2015-1091: Diego Torres (http://dtorres.me)

  • CFURL

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: l'accesso a un sito web dannoso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema relativo alla convalida dell'input nell'elaborazione degli URL. Questo problema viene risolto attraverso una migliore convalida dell'URL.

    ID CVE

    CVE-2015-1088: Luigi Galli

  • CoreAnimation

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: l'accesso a un sito web dannoso può causare l'esecuzione di codice arbitrario.

    Impatto: si verifica un problema di tipo use-after-free in CoreAnimation. Questo problema viene risolto attraverso una migliore gestione del mutex.

    ID CVE

    CVE-2015-1136: Apple

  • FontParser

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: l'elaborazione di un file font dannoso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria nell'elaborazione dei file font. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-1093: Marc Schoenefeld

  • Driver della scheda grafica

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore NULL nella gestione dei driver della scheda grafica NVIDIA di alcuni tipi di client utente IOService. Questo problema viene risolto migliorando la convalida del contesto.

    ID CVE

    CVE-2015-1137: Frank Graziano e John Villamil del Yahoo Pentest Team

  • Hypervisor

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un'applicazione locale può causare un DoS ("Denial of Service").

    Descrizione: si verifica un problema relativo alla convalida dell'input nel framework dell'hypervisor. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-1138: Izik Eidus e Alex Fishman

  • ImageIO

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: l'elaborazione di un file .sgi dannoso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei file .sgi. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-1139: Apple

  • IOHIDFamily

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un dispositivo HID dannoso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria in un'API IOHIDFamily. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-1095: Andrew Church

  • IOHIDFamily

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un overflow del buffer in IOHIDFamily. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-1140: lokihardt@ASRT, collaboratore di Zero Day Initiative di HP, Luca Todesco, Vitaliy Toropov, collaboratore di Zero Day Initiative (ZDI) di HP

  • IOHIDFamily

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un utente locale può determinare il layout della memoria del kernel.

    Descrizione: si verifica un problema in IOHIDFamily che causa la divulgazione dei contenuti della memoria del kernel. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-1096: Ilja van Sprundel di IOActive

  • IOHIDFamily

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un overflow del buffer della memoria heap nella gestione delle proprietà di mappatura dei tasti da parte di IOHIDFamily. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2014-4404: Ian Beer di Google Project Zero

  • IOHIDFamily

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore null nella gestione delle proprietà di mappatura dei tasti da parte di IOHIDFamily. Questo problema viene risolto attraverso una migliore convalida delle proprietà di mappatura dei tasti di IOHIDFamily.

    ID CVE

    CVE-2014-4405: Ian Beer di Google Project Zero

  • IOHIDFamily

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impatto: un utente può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo alla scrittura non nei limiti nel driver IOHIDFamily. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2014-4380: cunzhang di Adlab di Venustech

  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un utente locale può causare l'arresto imprevisto del sistema.

    Descrizione: si verifica un problema nella gestione delle operazioni di memoria virtuale nel kernel. Questo problema viene risolto attraverso una migliore gestione dell'operazione mach_vm_read.

    ID CVE

    CVE-2015-1141: Ole Andre Vadla Ravnas di www.frida.re

  • Kernel

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un utente locale può causare un DoS ("Denial of Service").

    Descrizione: si verifica una condizione critica nella chiamata di sistema setreuid del kernel. Questo problema viene risolto attraverso una migliore gestione dello stato.

    ID CVE

    CVE-2015-1099: Mark Mentovai di Google Inc.

  • Kernel

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un'applicazione locale può superare i privilegi tramite un servizio compromesso destinato all'esecuzione con privilegi ridotti.

    Descrizione: le chiamate di sistema setreuid e setregid non riescono a rimuovere in modo permanente i privilegi. Questo problema viene risolto rimuovendo correttamente i privilegi.

    ID CVE

    CVE-2015-1117: Mark Mentovai di Google Inc.

  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un malintenzionato con una posizione privilegiata in rete può reindirizzare il traffico utente a host arbitrari.

    Descrizione: in OS X sono abilitati di default i reindirizzamenti ICMP. Questo problema viene risolto disabilitando i reindirizzamenti ICMP.

    ID CVE

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un malintenzionato con una posizione privilegiata in rete può causare un DoS ("Denial of Service").

    Descrizione: si verifica un comportamento non coerente dello stato nell'elaborazione delle intestazioni TCP. Questo problema viene risolto attraverso una migliore gestione dello stato.

    ID CVE

    CVE-2015-1102: Andrey Khudyakov e Maxim Zhuravlev di Kaspersky Lab

  • Kernel

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

    Descrizione: si verifica un problema di accesso alla memoria fuori dai limiti nel kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-1100: Maxime Villard di m00nbsd

  • Kernel

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un malintenzionato collegato in remoto può bypassare i filtri di rete.

    Descrizione: il sistema tratta alcuni pacchetti IPv6 da rete remota come fossero pacchetti locali. Questo problema viene risolto rifiutando tali pacchetti.

    ID CVE

    CVE-2015-1104: Stephen Roettger del Google Security Team

  • Kernel

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un utente locale può eseguire codice arbitrario con privilegi kernel.

    Descrizione: si verifica un problema di danneggiamento della memoria nel kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-1101: lokihardt@ASRT, collaboratore della Zero Day Initiative di HP

  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un malintenzionato collegato in remoto può causare un DoS ("Denial of Service").

    Descrizione: si verifica un comportamento non coerente dello stato nella gestione dei dati fuori banda TCP. Questo problema viene risolto attraverso una migliore gestione dello stato.

    ID CVE

    CVE-2015-1105: Kenton Varda di Sandstorm.io

  • LaunchServices

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un utente locale può causare il crash del Finder.

    Descrizione: si verifica un problema relativo alla convalida dell'input nella gestione dei dati di localizzazione dell'applicazione da parte di LaunchService. Questo problema viene risolto attraverso una migliore convalida dei dati di localizzazione.

    ID CVE

    CVE-2015-1142

  • LaunchServices

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di confusione dei tipi nella gestione delle stringhe localizzate da parte di LaunchServices. Questo problema viene risolto migliorando il controllo dei limiti.

    ID CVE

    CVE-2015-1143: Apple

  • libnetcore

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: l'elaborazione di un profilo di configurazione dannoso può causare la chiusura improvvisa dell'applicazione.

    Descrizione: si verifica un problema di corruzione della memoria nella gestione dei profili di configurazione. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang e Tao Wei di FireEye, Inc.

  • ntp

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un malintenzionato collegato in remoto può forzare le chiavi di autenticazione ntpd.

    Descrizione: quando la chiave di autenticazione non è configurata, la funzione config_auth in ntpd genera una chiave debole. Questo problema viene risolto attraverso una migliore generazione della chiave.

    ID CVE

    CVE-2014-9298

  • OpenLDAP

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un client non autenticato e collegato in remoto può causare un DoS ("Denial of Service").

    Descrizione: si verificano diversi problemi relativi alla convalida dell'input in OpenLDAP. Questi problemi vengono risolti attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-1545: Ryan Tandy

    CVE-2015-1546: Ryan Tandy

  • OpenSSL

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: si verificano diverse vulnerabilità in OpenSSL.

    Descrizione: si verificano diverse vulnerabilità in OpenSSL 0.9.8zc, inclusa una che può consentire a un malintenzionato di intercettare le connessioni a un server che supporta la crittografia di tipo export-grade. Questi problemi vengono risolti aggiornando OpenSSL alla versione 0.9.8zd.

    ID CVE

    CVE-2014-3569

    CVE-2014-3570

    CVE-2014-3571

    CVE-2014-3572

    CVE-2014-8275

    CVE-2015-0204

  • Client Open Directory

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: può essere inviata una password non crittografata su una rete quando è in uso Open Directory da OS X Server.

    Descrizione: se un client Open Directory è collegato a OS X Server ma non installa i certificati di OS X Server e un utente di tale client modifica la password, la richiesta di modifica della password viene inviata senza crittografia su una rete. Questo problema viene risolto facendo in modo che il client richieda la crittografia in una situazione simile.

    ID CVE

    CVE-2015-1147: Apple

  • PHP

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: diverse vulnerabilità in PHP.

    Descrizione: si verificano diverse vulnerabilità nelle versioni di PHP precedenti alla 5.3.29, alla 5.4.38 e alla 5.5.20, inclusa una che può causare l'esecuzione di codice arbitrario. Questo problema viene risolto aggiornando PHP alle versioni 5.3.29, 5.4.38 e 5.5.20.

    ID CVE

    CVE-2013-6712

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-2497

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3538

    CVE-2014-3587

    CVE-2014-3597

    CVE-2014-3668

    CVE-2014-3669

    CVE-2014-3670

    CVE-2014-3710

    CVE-2014-3981

    CVE-2014-4049

    CVE-2014-4670

    CVE-2014-4698

    CVE-2014-5120

  • QuickLook

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: l'apertura di un file iWork dannoso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un danneggiamento della memoria nella gestione dei file iWork. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-1098: Christopher Hickstein

  • SceneKit

    Disponibile per: OS X Mountain Lion 10.8.5

    Impatto: la visualizzazione di un file Collada dannoso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer della memoria heap nella gestione dei file Collada da parte SceneKit. La visualizzazione di un file Collada dannoso può causare l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore convalida degli elementi della funzione di accesso.

    ID CVE

    CVE-2014-8830: Jose Duart del Google Security Team

  • Condivisione dello schermo

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: la password dell'utente può essere registrata su un file locale.

    Descrizione: in alcune situazioni Condivisione schermo può registrare una password utente non leggibile dagli altri utenti sul sistema. Questo problema viene risolto rimuovendo la registrazione delle credenziali.

    ID CVE

    CVE-2015-1148: Apple

  • Sicurezza - Firma del codice

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: l'avvio delle applicazioni manomesse può non essere impedito.

    Descrizione: le applicazioni contenenti pacchetti appositi possono essere avviate senza una firma totalmente valida. Questo problema viene risolto aggiungendo ulteriori verifiche.

    ID CVE

    CVE-2015-1145

    CVE-2015-1146

  • UniformTypeIdentifiers

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un overflow del buffer nel modo in cui vengono gestiti gli Uniform Type Identifier. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-1144: Apple

  • WebKit

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.2

    Impatto: l'accesso a un sito web dannoso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria in WebKit. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-1069: lokihardt@ASRT, collaboratore della Zero Day Initiative di HP

L'aggiornamento di sicurezza 2015-004 (disponibile per OS X Mountain Lion 10.8.5 e OS X Mavericks 10.9.5) risolve anche un problema causato da una correzione per il CVE-2015-1067 nell'aggiornamento di sicurezza 2015-002. Questo problema impediva ai client Apple Event remoti di qualsiasi versione di connettersi al server Apple Event remoti. Nelle configurazioni di default gli Apple Event remoti non sono abilitati.

OS X Yosemite 10.10.3 include il contenuto di sicurezza di Safari 8.0.5.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: