Informazioni sui contenuti di sicurezza OS X Yosemite 10.10.4 e sull'aggiornamento di sicurezza 2015-005

In questo documento vengono descritti i contenuti di sicurezza di OS X Yosemite 10.10.4 e l'aggiornamento di sicurezza 2015-005.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web Sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta Aggiornamenti di sicurezza Apple.

OS X Yosemite 10.10.4 e aggiornamento di sicurezza 2015-005

  • Admin Framework

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un processo può acquisire privilegi di amministratore senza una corretta autenticazione.

    Descrizione: si verifica un problema durante il controllo delle idoneità XPC. Questo problema viene risolto attraverso una migliore verifica dell'idoneità.

    ID CVE

    CVE-2015-3671: Emil Kvarnhammar presso TrueSec

  • Admin Framework

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un utente non amministratore può ottenere i diritti di amministrazione.

    Descrizione: si verifica un problema di gestione dell'autenticazione dell'utente. Questo problema viene risolto attraverso un migliore controllo degli errori.

    ID CVE

    CVE-2015-3672: Emil Kvarnhammar presso TrueSec

  • Admin Framework

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un malintenzionato può usare in modo improprio Utility Directory e acquisire privilegi root.

    Descrizione: è possibile spostare e modificare Utility Directory per causare l'esecuzione di codice all'interno di un processo autorizzato. Questo problema viene risolto limitando la posizione del disco da cui possono essere eseguiti i client writeconfig.

    ID CVE

    CVE-2015-3673: Patrick Wardle di Synack, Emil Kvarnhammar presso TrueSec

  • afpserver

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nel server AFP. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3674: Dean Jerkovich di NCC Group

  • Apache

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un malintenzionato può accedere alle directory protette mediante autenticazione HTTP pur non conoscendo le credenziali corrette.

    Descrizione: la configurazione Apache di default non comprende mod_hfs_apple. Se Apache è stato attivato manualmente e la configurazione non è stata modificata, alcuni file non accessibili possono essere resi accessibili tramite un URL appositamente creato. Questo problema viene risolto abilitando mod_hfs_apple.

    ID CVE

    CVE-2015-3675: Apple

  • Apache

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: sono presenti diverse vulnerabilità in PHP, la più grave delle quali può causare l'esecuzione di codice arbitrario.

    Descrizione: sono presenti diverse vulnerabilità nelle versioni di PHP precedenti alla 5.5.24 e alla 5.4.40. Questo problema viene risolto aggiornando PHP alle versioni 5.5.24 e 5.4.40.

    ID CVE

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può determinare il layout della memoria del kernel.

    Descrizione: in AppleGraphicsControl si verifica un problema che può comportare la divulgazione del layout della memoria del kernel. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-3676: Chen Liang di KEEN Team

  • AppleFSCompression

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può determinare il layout della memoria del kernel.

    Descrizione: si verifica un problema nella compressione LZVN che può comportare la divulgazione dei contenuti della memoria del kernel. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3677: un ricercatore anonimo, collaboratore della Zero Day Initiative di HP

  • AppleThunderboltEDMService

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione di alcuni comandi Thunderbolt da processi locali. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3678: Apple

  • ATS

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: l'elaborazione di un file font dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria nella gestione di alcuni font. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3679: Pawel Wylecial, collaboratore della Zero Day Initiative di HP

    CVE-2015-3680: Pawel Wylecial, collaboratore della Zero Day Initiative di HP

    CVE-2015-3681: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3682: 魏诺德

  • Bluetooth

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'interfaccia Bluetooth HCI. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3683: Roberto Paleari e Aristide Fattori di Emaze Networks

  • Certificate Trust Policy

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un malintenzionato con una posizione privilegiata sulla rete può intercettare il traffico sulla rete.

    Descrizione: viene rilasciato per errore un certificato intermedio dall'autorità di certificazione CNNIC. Questo problema viene risolto attraverso l'aggiunta di un meccanismo per rendere attendibile solo un sottoinsieme di certificati rilasciati prima dell'erronea emissione del certificato intermedio. Scopri ulteriori informazioni sull'elenco di sicurezza dei certificati consentiti con attendibilità parziale.

  • Certificate Trust Policy

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Descrizione: viene aggiornata la Certificate Trust Policy. L'elenco completo dei certificati è consultabile all'interno dell'Archivio certificati attendibili di OS X.

  • CFNetwork HTTPAuthentication

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: l'accesso a un URL dannoso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione di alcune credenziali URL. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3684: Apple

  • CoreText

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: l'elaborazione di un file di testo dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria nell'elaborazione dei file di testo. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un malintenzionato con una posizione privilegiata sulla rete può intercettare le connessioni TLS/SSL.

    Descrizione: coreTLS accetta chiavi Diffie-Hellman (DH) temporanee brevi, che vengono usate nelle suite di crittografia DH di tipo "export-strenght". Questo problema, noto come Logjam, permette a un malintenzionato con una posizione privilegiata sulla rete di eseguire il downgrade della sicurezza a 512 bit DH se il server supporta la suite di crittografia DH temporanea di tipo "export-strenght". Questo problema viene risolto aumentando la dimensione minima di default consentita per le chiavi temporanee DH a 768 bit.

    ID CVE

    CVE-2015-4000: il team weakdh presso weakdh.org, Hanno Boeck

  • DiskImages

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può determinare il layout della memoria del kernel.

    Descrizione: si verifica un problema di divulgazione di informazioni durante l'elaborazione delle immagini disco. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3690: Peter Rutenbar, collaboratore della Zero Day Initiative di HP

  • Display Drivers

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema nell'estensione kernel del Monitor Control Command Set da cui un processo userland può controllare il valore del puntatore di una funzione all'interno del kernel. Questo problema viene risolto rimuovendo l'interfaccia interessata.

    ID CVE

    CVE-2015-3691: Roberto Paleari e Aristide Fattori di Emaze Networks

  • EFI

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa con privilegi root può modificare la memoria flash EFI.

    Descrizione: si verifica un problema di blocco insufficiente con la memoria flash EFI alla riattivazione del computer dagli stati di stop. Questo problema viene risolto attraverso un migliore blocco.

    ID CVE

    CVE-2015-3692: Trammell Hudson di Two Sigma Investments, Xeno Kovah e Corey Kallenberg di LegbaCore LLC, Pedro Vilaça

  • EFI

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può comportare il danneggiamento della memoria per disporre di privilegi più elevati.

    Descrizione: si verifica un errore di interferenza, noto anche come Rowhammer, con alcune RAM DDR3 che può comportare un danneggiamento della memoria. Questo problema viene risolto aumentando le frequenze di aggiornamento della memoria.

    ID CVE

    CVE-2015-3693: Mark Seaborn e Thomas Dullien di Google, sulla base della ricerca originale di Yoongu Kim et al (2014)

  • FontParser

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: l'elaborazione di un file font dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file dei font. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

  • Driver della scheda grafica

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di scrittura fuori dai limiti nel driver della scheda grafica NVIDIA. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-3712: Ian Beer di Google Project Zero

  • Driver Intel Graphics

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: si verificano diversi problemi di overflow del buffer nel driver Intel Graphics, il più grave dei quali può causare l'esecuzione di codice arbitrario con privilegi di sistema.

    Descrizione: si verificano diversi problemi di overflow del buffer nel driver di grafica Intel. Questi problemi vengono risolti attraverso un ulteriore controllo dei limiti.

    ID CVE

    CVE-2015-3695: Ian Beer di Google Project Zero

    CVE-2015-3696: Ian Beer di Google Project Zero

    CVE-2015-3697: Ian Beer di Google Project Zero

    CVE-2015-3698: Ian Beer di Google Project Zero

    CVE-2015-3699: Ian Beer di Google Project Zero

    CVE-2015-3700: Ian Beer di Google Project Zero

    CVE-2015-3701: Ian Beer di Google Project Zero

    CVE-2015-3702: KEEN Team

  • ImageIO

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: sono presenti diverse vulnerabilità in libtiff, la più grave delle quali può causare l'esecuzione di codice arbitrario.

    Descrizione: sono presenti diverse vulnerabilità nelle versioni di libtiff precedenti alla 4.0.4. Questo problema viene risolto aggiornando libtiff alla versione 4.0.4.

    ID CVE

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: l'elaborazione di un file .tiff dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file .tiff. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-3703: Apple

  • Install Framework Legacy

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificano diversi problemi nel modo in cui vengono rimossi i privilegi dal setuid "runner" binario di Install.framework. Questo problema viene risolto rimuovendo correttamente i privilegi.

    ID CVE

    CVE-2015-3704: Ian Beer di Google Project Zero

  • IOAcceleratorFamily

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria in IOAcceleratorFamily. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3705: KEEN Team

    CVE-2015-3706: KEEN Team

  • IOFireWireFamily

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificano diversi problemi relativi alla dereferenziazione del puntatore null nel driver FireWire. Questi problemi vengono risolti attraverso un migliore controllo degli errori.

    ID CVE

    CVE-2015-3707: Roberto Paleari e Aristide Fattori di Emaze Networks
  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può determinare il layout della memoria del kernel.

    Descrizione: si verifica un errore di gestione della memoria nella gestione delle API collegate alle estensioni del kernel che può comportare la divulgazione del layout della memoria del kernel. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3720: Stefan Esser
  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può determinare il layout della memoria del kernel.

    Descrizione: si verifica un errore di gestione della memoria nella gestione dei parametri HFS che può comportare la divulgazione del layout della memoria del kernel. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3721: Ian Beer di Google Project Zero
  • Strumenti kext

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può sovrascrivere i file arbitrari.

    Descrizione: kextd segue collegamenti simbolici durante la creazione di un nuovo file. Questo problema viene risolto attraverso una migliore gestione dei link simbolici.

    ID CVE

    CVE-2015-3708: Ian Beer di Google Project Zero

  • Strumenti kext

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un utente locale può caricare estensioni del kernel non firmate.

    Descrizioni: si verifica un problema di race condition time-of-check time-of-use (TOCTOU) durante la convalida dei percorsi delle estensioni del kernel. Questo problema viene risolto attraverso migliori controlli per la convalida del percorso delle estensioni del kernel.

    ID CVE

    CVE-2015-3709: Ian Beer di Google Project Zero

  • Mail

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'email dannosa può sostituire il contenuto di un messaggio con una pagina web arbitraria quando viene visualizzato il messaggio.

    Descrizione: si verifica un problema nel supporto per l'email HTML che consente l'aggiornamento del contenuto di un messaggio con una pagina web arbitraria. Questo problema viene risolto limitando il supporto dei contenuti HTML.

    ID CVE

    CVE-2015-3710: Aaron Sigel di vtty.com, Jan Souček

  • ntfs

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può determinare il layout della memoria del kernel.

    Descrizione: si verifica un problema in NTFS che può comportare la divulgazione dei contenuti della memoria del kernel. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3711: Peter Rutenbar, collaboratore della Zero Day Initiative di HP

  • ntp

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un malintenzionato con una posizione privilegiata può causare un DoS ("Denial of Service") di due client ntp.

    Descrizione: si verificano diversi problemi nell'autenticazione dei pacchetti ntp ricevuti dagli endpoint configurati. Questo problema viene risolto migliorando la gestione dello stato della connessione.

    ID CVE

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: si verificano diversi problemi in OpenSSL, incluso uno che consente a un malintenzionato di intercettare le connessioni a un server che supporta la crittografia di tipo "export-grade".

    Descrizione: si verificano diversi problemi in OpenSSL 0.9.8zd, che vengono risolti aggiornando OpenSSL alla versione 0.9.8zf.

    ID CVE

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: l'elaborazione di un file video dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria in QuickTime. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3661: G. Geshev, collaboratore della Zero Day Initiative di HP

    CVE-2015-3662: kdot, collaboratore della Zero Day Initiative di HP

    CVE-2015-3663: kdot, collaboratore della Zero Day Initiative di HP

    CVE-2015-3666: Steven Seeley di Source Incite, collaboratore della Zero Day Initiative di HP

    CVE-2015-3667: Ryan Pentney, Richard Johnson di Cisco Talos e Kai Lu di Fortinet's FortiGuard Labs

    CVE-2015-3668: Kai Lu di Fortinet's FortiGuard Labs

    CVE-2015-3713: Apple

  • Sicurezza

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un malintenzionato collegato in remoto può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow di numeri interi nel codice del Framework di sicurezza per l'analisi dell'email S/MIME e di altri oggetti firmati e crittografati. Questo problema viene risolto attraverso un migliore controllo della validità.

    ID CVE

    CVE-2013-1741

  • Sicurezza

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: non è possibile impedire l'avvio delle applicazioni manomesse.

    Descrizione: le app che usano le regole delle risorse personalizzate possono essere manomesse senza invalidare la firma. Questo problema viene risolto attraverso una migliore convalida della risorsa.

    ID CVE

    CVE-2015-3714: Joshua Pitts di Leviathan Security Group

  • Sicurezza

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'applicazione pericolosa può ignorare i controlli di firma del codice.

    Descrizione: si verifica un problema quando la firma del codice non verifica le librerie caricate fuori dal pacchetto dell'applicazione. Questo problema viene risolto attraverso una migliore verifica del pacchetto.

    ID CVE

    CVE-2015-3715: Patrick Wardle di Synack

  • Spotlight

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: la ricerca di un file pericoloso con Spotlight può provocare un command injection.

    Descrizione: è presente una vulnerabilità del command injection nella gestione dei nomi dei file delle foto aggiunti alla libreria foto in locale. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-3716: Apple

  • SQLite

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un malintenzionato collegato in remoto può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi overflow del buffer nell'implementazione del printf di SQLite. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-3717: Peter Rutenbar, collaboratore della Zero Day Initiative di HP

  • SQLite

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un comando SQL dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema relativo alle API nella funzionalità SQLite. Questo problema viene risolto attraverso migliori restrizioni.

    ID CVE

    CVE-2015-7036: Peter Rutenbar, collaboratore della Zero Day Initiative di HP

  • Statistiche del sistema

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: un'app pericolosa può compromettere systemstatsd.

    Descrizione: si verifica un problema di confusione dei tipi nella gestione da parte di systemstatsd della comunicazione interprocesso. Inviando un messaggio con formato pericoloso a systemstatsd, è possibile eseguire codice arbitrario come processo di systemstatsd. Questo problema viene risolto attraverso un ulteriore controllo dei tipi.

    ID CVE

    CVE-2015-3718: Roberto Paleari e Aristide Fattori di Emaze Networks

  • TrueTypeScaler

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: l'elaborazione di un file font dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file dei font. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • zip

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.3

    Impatto: l'estrazione di un file zip dannoso tramite lo strumento di compressione può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria nella gestione dei file zip. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

In OS X Yosemite 10.10.4 sono inclusi i contenuti di sicurezza di Safari 8.0.7.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: