Informazioni sul contenuto di sicurezza di OS X Yosemite 10.10.5 e dell'aggiornamento di sicurezza 2015-006

In questo documento viene descritto il contenuto di sicurezza di OS X Yosemite 10.10.5 e dell'aggiornamento di sicurezza 2015-006.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.

OS X Yosemite 10.10.5 e aggiornamento di sicurezza 2015-006

  • Apache

    Disponibile per: OS X Mavericks 10.9.5 e OS X Yosemite dalla versione 10.10 alla versione 10.10.4

    Impatto: sono presenti diverse vulnerabilità in Apache 2.4.16, la più grave delle quali consente a un malintenzionato collegato in remoto di causare un DoS ("Denial of Service").

    Descrizione: sono presenti diverse vulnerabilità nelle versioni di Apache precedenti alla 2.4.16. Questi problemi vengono risolti con l'aggiornamento di Apache alla versione 2.4.16.

    ID CVE

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    Disponibile per: OS X Mavericks 10.9.5 e OS X Yosemite dalla versione 10.10 alla versione 10.10.4

    Impatto: sono presenti diverse vulnerabilità in PHP 5.5.20, la più grave delle quali può causare l'esecuzione di codice arbitrario.

    Descrizione: sono presenti diverse vulnerabilità nelle versioni di PHP precedenti alla 5.5.20. Questi problemi vengono risolti con l'aggiornamento di Apache alla versione 5.5.27.

    ID CVE

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Plug-in OD ID Apple

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'applicazione dannosa può causare la modifica della password di un utente locale.

    Descrizione: in alcuni casi si verifica un problema di gestione dello stato nella procedura di autenticazione della password. Questo problema viene risolto attraverso una migliore gestione dello stato.

    ID CVE

    CVE-2015-3799: un ricercatore anonimo, collaboratore della Zero Day Initiative di HP

  • AppleGraphicsControl

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'applicazione dannosa può determinare il layout della memoria del kernel.

    Descrizione: in AppleGraphicsControl si verifica un problema che può comportare la divulgazione del layout della memoria del kernel. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-5768: JieTao Yang di KeenTeam

  • Bluetooth

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria in IOBluetoothHCIController. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3779: Teddy Reed di Facebook Security

  • Bluetooth

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'applicazione dannosa può determinare il layout della memoria del kernel.

    Descrizione: un problema di gestione della memoria può comportare la divulgazione del layout della memoria del kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3780: Roberto Paleari e Aristide Fattori di Emaze Networks

  • Bluetooth

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'app dannosa può permettere l'accesso alle notifiche da altri dispositivi iCloud.

    Descrizione: si verifica un problema per cui un'app dannosa consente l'accesso alle notifiche del Centro Notifiche di un dispositivo iOS o di un Mac associato con Bluetooth attraverso il servizio del Centro Notifiche Apple. Questo problema riguarda i dispositivi che utilizzano Handoff e condividono l'accesso allo stesso account iCloud. Il problema viene risolto revocando l'accesso al servizio del Centro Notifiche di Apple.

    ID CVE

    CVE-2015-3786: Xiaolong Bai (Tsinghua University), System Security Lab (Indiana University), Tongxin Li (Peking University), XiaoFeng Wang (Indiana University)

  • Bluetooth

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un malintenzionato con una posizione privilegiata sulla rete può causare un attacco Dos ("Denial of Service") tramite pacchetti Bluetooth dal formato non corretto.

    Descrizione: si verifica un problema di convalida dell'input nell'analisi dei pacchetti ACL Bluetooth. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-3787: Trend Micro

  • Bluetooth

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un malintenzionato su una rete locale può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: nella gestione blued dei messaggi XPC si verificano diversi problemi di overflow del buffer. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-3777: mitp0sh di [PDX]

  • BootP

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: una rete Wi-Fi dannosa potrebbe individuare le reti da cui un dispositivo ha precedentemente effettuato l'accesso.

    Descrizione: connettendosi a una rete Wi-Fi, iOS può trasmettere gli indirizzi MAC delle reti a cui è stato effettuato l'accesso precedentemente tramite il protocollo DNAv4. Questo problema viene risolto disattivando DNAv4 sulle reti Wi-Fi non crittografate.

    ID CVE

    CVE-2015-3778: Piers O'Hanlon dell'Oxford Internet Institute, University of Oxford (progetto EPSRC Being There)

  • CloudKit

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'applicazione dannosa può accedere al record iCloud di un utente che ha eseguito l'accesso in precedenza.

    Descrizione: durante la disconnessione degli utenti si verifica un'incoerenza dello stato in iCloudKit. Questo problema viene risolto attraverso una migliore gestione dello stato.

    ID CVE

    CVE-2015-3782: Deepkanwal Plaha della University of Toronto

  • CoreMedia Playback

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: la visualizzazione di un file video dannoso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano problemi di danneggiamento della memoria in CoreMedia Playback. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'elaborazione di un file con font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreText

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'elaborazione di un file con font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team

  • curl

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: sono presenti diverse vulnerabilità in cURL e libcurl precedenti alla versione 7.38.0, una delle quali consente ai malintenzionati collegati in remoto di eludere la Same Origin Policy (regola della stessa origine).

    Descrizione: sono presenti diverse vulnerabilità in cURL e libcurl precedenti alla versione 7.38.0. Questi problemi vengono risolti attraverso l'aggiornamento di cURL alla versione 7.43.0.

    ID CVE

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Data Detectors Engine

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'elaborazione di una sequenza di caratteri unicode può condurre alla chiusura improvvisa dell'applicazione o all'esecuzione di codice arbitrario.

    Descrizione: si verificano problemi di danneggiamento della memoria nell'elaborazione di caratteri Unicode. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-5750: M1x7e1 del Safeye Team (www.safeye.org)

  • Riquadro delle preferenze Data e ora

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: le applicazioni che si basano sull'ora del sistema possono avere un comportamento imprevisto.

    Descrizione: si verifica un problema di autorizzazione durante la modifica delle preferenze di data e ora nel sistema. Questo problema viene risolto attraverso ulteriori verifiche delle autorizzazioni.

    ID CVE

    CVE-2015-3757: Mark S C Smith

  • Applicazione Dizionario

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un malintenzionato con una posizione privilegiata sulla rete può intercettare le interrogazioni dell'app Dizionario dell'utente.

    Descrizione: si verifica un problema nell'app Dizionario che non consente di proteggere adeguatamente le comunicazioni dell'utente. Il problema viene risolto spostando le interrogazioni di Dizionario su HTTPS.

    ID CVE

    CVE-2015-3774: Jeffrey Paul di EEQJ, Jan Bee del Google Security Team

  • DiskImages

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'elaborazione di un file DMG dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo all'analisi di immagini DMG dal formato non corretto. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3800: Frank Graziano dello Yahoo Pentest Team 

  • dyld

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di convalida dei percorsi in dyld. Questo problema viene risolto attraverso una migliore sanitizzazione del sistema.

    ID CVE

    CVE-2015-3760: beist di grayhash, Stefan Esser

  • FontParser

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'elaborazione di un file con font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-3804: Apple

    CVE-2015-5775: Apple

  • FontParser

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'elaborazione di un file con font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

  • groff

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: sono presenti diversi problemi in pdfroff.

    Descrizione: sono presenti diversi problemi in pdfroff, il più grave dei quali può consentire la modifica arbitraria del filesystem. Questi problemi vengono risolti rimuovendo pdfroff.

    ID CVE

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'elaborazione di un'immagine TIFF dannosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione delle immagini TIFF. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-5758: Apple

  • ImageIO

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'accesso a un sito web dannoso può causare la divulgazione della memoria dei processi.

    Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione delle immagini TIFF e PNG da parte di ImageIO. L'accesso a un sito web dannoso potrebbe causare l'invio di dati dalla memoria dei processi al sito web. Questo problema viene risolto attraverso una migliore inizializzazione della memoria e un'ulteriore convalida delle immagini TIFF e PNG.

    ID CVE

    CVE-2015-5781: Michal Zalewski

    CVE-2015-5782: Michal Zalewski

  • Install Framework legacy

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi root.

    Descrizione: si verifica un problema nel modo in cui vengono rimossi i privilegi dal binario "runner" di Install.framework. Questo problema viene risolto attraverso una migliore gestione dei privilegi.

    ID CVE

    CVE-2015-5784: Ian Beer di Google Project Zero

  • Install Framework legacy

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica una condizione critica nel binario "runner" di Install.framework che causa la rimozione non corretta dei privilegi. Questo problema viene risolto attraverso un migliore blocco degli oggetti.

    ID CVE

    CVE-2015-5754: Ian Beer di Google Project Zero

  • IOFireWireFamily

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificano problemi di danneggiamento della memoria in IOFireWireFamily. Questi problemi vengono risolti attraverso un'ulteriore convalida dell'input.

    ID CVE

    CVE-2015-3769: Ilja van Sprundel

    CVE-2015-3771: Ilja van Sprundel

    CVE-2015-3772: Ilja van Sprundel

  • IOGraphics

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: è presente un problema di danneggiamento della memoria in IOGraphics. Questo problema viene risolto attraverso un'ulteriore convalida dell'input.

    ID CVE

    CVE-2015-3770: Ilja van Sprundel

    CVE-2015-5783: Ilja van Sprundel

  • IOHIDFamily

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un overflow del buffer in IOHIDFamily. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5774: TaiG Jailbreak Team

  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'applicazione dannosa può determinare il layout della memoria del kernel.

    Descrizione: si verifica un problema nell'interfaccia mach_port_space_info che può causare la divulgazione del layout della memoria del kernel. Questo problema viene risolto disabilitando l'interfaccia mach_port_space_info.

    ID CVE

    CVE-2015-3766: Cererdlong dell'Alibaba Mobile Security Team, @PanguTeam

  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un overflow di valori integer nella gestione delle funzioni di IOKit. Questo problema viene risolto mediante una migliore convalida degli argomenti API di IOKit.

    ID CVE

    CVE-2015-3768: Ilja van Sprundel

  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un utente locale può causare un DoS ("Denial of Service").

    Descrizione: si verifica un problema di esaurimento delle risorse nel driver fasttrap. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5747: Maxime VILLARD di m00nbsd

  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un utente locale può causare un DoS ("Denial of Service").

    Descrizione: si verifica un problema di convalida nel montaggio dei volumi HFS. Questo problema viene risolto aggiungendo ulteriori verifiche.

    ID CVE

    CVE-2015-5748: Maxime VILLARD di m00nbsd

  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'applicazione dannosa può eseguire codice non firmato.

    Descrizione: si verifica un problema che consente l'aggiunta di codice non firmato al codice firmato in un file eseguibile appositamente creato. Questo problema viene risolto attraverso una migliore convalida della firma del codice.

    ID CVE

    CVE-2015-3806: TaiG Jailbreak Team

  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un file eseguibile creato appositamente può consentire l'esecuzione di codice dannoso, non firmato.

    Descrizione: si verifica un problema sulla modalità di valutazione dei file eseguibili su più architetture che può causare l'esecuzione di codice non firmato. Questo problema viene risolto mediante una migliore convalida dei file eseguibili.

    ID CVE

    CVE-2015-3803: TaiG Jailbreak Team

  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un utente locale può eseguire codice non firmato.

    Descrizione: si verifica un problema di convalida nella gestione dei file di Mach-O. Questo problema viene risolto aggiungendo ulteriori verifiche.

    ID CVE

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'analisi di un plist dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione di plist dal formato non corretto. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3776: Teddy Reed di Facebook Security, Patrick Stein (@jollyjinx) di Jinx Germany

  • Kernel

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di convalida dei percorsi. Questo problema viene risolto attraverso una migliore sanitizzazione del sistema.

    ID CVE

    CVE-2015-3761: Apple

  • Libc

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'elaborazione di un'espressione regolare dannosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano problemi di danneggiamento della memoria nella libreria TRE. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3796: Ian Beer di Google Project Zero

    CVE-2015-3797: Ian Beer di Google Project Zero

    CVE-2015-3798: Ian Beer di Google Project Zero

  • Libinfo

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano problemi di danneggiamento della memoria nella gestione dei socket AF_INET6. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-5776: Apple

  • libpthread

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione delle chiamate di sistema. Questo problema viene risolto attraverso un migliore controllo dello stato di blocco.

    ID CVE

    CVE-2015-5757: Lufeng Li di Qihoo 360

  • libxml2

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: sono presenti diverse vulnerabilità nelle versioni di libxml2 precedenti alla 2.9.2, la più grave delle quali può permettere a un malintenzionato collegato in remoto di causare un DoS ("Denial of Service").

    Descrizione: sono presenti diverse vulnerabilità nelle versioni di libxml2 precedenti alla 2.9.2. Questi problemi vengono risolti con l'aggiornamento di libxml2 alla versione 2.9.2.

    ID CVE

    CVE-2012-6685: Felix Groebert di Google Chrome

    CVE-2014-0191: Felix Groebert di Google Chrome

  • libxml2

    Disponibile per: OS X Mavericks 10.9.5 e OS X Yosemite dalla versione 10.10 alla versione 10.10.4

    Impatto: l'analisi di un documento XML dannoso può determinare la divulgazione delle informazioni utente.

    Descrizione: è presente un problema di accesso alla memoria in libxml2. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2014-3660: Felix Groebert di Google

  • libxml2

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'analisi di un documento XML dannoso può determinare la divulgazione delle informazioni utente.

    Descrizione: è presente un problema di danneggiamento della memoria nell'analisi di file XML. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3807: Apple

  • libxpc

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione di messaggi XPC dal formato non corretto. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-3795: Mathew Rowley

  • mail_cmds

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un utente locale può eseguire comandi shell arbitrari.

    Descrizione: si verifica un problema di convalida nell'analisi mailx degli indirizzi email. Questo problema viene risolto attraverso una migliore sanitizzazione.

    ID CVE

    CVE-2014-7844

  • Centro Notifiche OSX

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un'applicazione dannosa può consentire l'accesso a tutte le notifiche precedentemente visualizzate agli utenti.

    Descrizione: si verifica un problema nel Centro Notifiche, che non consente di eliminare correttamente le notifiche degli utenti. Questo problema viene risolto attraverso l'eliminazione corretta delle notifiche ignorate dagli utenti.

    ID CVE

    CVE-2015-3764: Jonathan Zdziarski

  • ntfs

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: è presente un problema di danneggiamento della memoria in NTFS. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5763: Roberto Paleari e Aristide Fattori di Emaze Networks

  • OpenSSH

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: dei malintenzionati collegati in remoto possono eludere il ritardo temporale per i tentativi di login non riusciti e sferrare attacchi di tipo brute force.

    Descrizione: si verifica un problema durante l'elaborazione dei dispositivi con comandi interattivi. Questo problema viene risolto attraverso una migliore convalida della richiesta di autenticazione.

    ID CVE

    CVE-2015-5600

  • OpenSSL

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: sono presenti diverse vulnerabilità nelle versioni di OpenSSL precedenti alla 0.9.8zg, la più grave delle quali può permettere a un malintenzionato collegato in remoto di causare un DoS ("Denial of Service").

    Descrizione: sono presenti diverse vulnerabilità nelle versioni di OpenSSL precedenti a 0.9.8zg. Questi problemi vengono risolti aggiornando OpenSSL alla versione 0.9.8zg.

    ID CVE

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'analisi di un file dannoso può causare la divulgazione della chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di underflow di valori integer nella modalità di analisi delle espressioni regolari di Perl. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2013-7422

  • PostgreSQL

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un malintenzionato può causare la chiusura improvvisa dell'applicazione o ottenere l'accesso ai dati senza l'adeguata autenticazione.

    Descrizione: sono presenti diversi problemi in PostgreSQL 9.2.4. Questi problemi si risolvono aggiornando PostgreSQL a 9.2.13.

    ID CVE

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: sono presenti diverse vulnerabilità in Python 2.7.6, la più grave delle quali può causare l'esecuzione di codice arbitrario.

    Descrizione: sono presenti diverse vulnerabilità nelle versioni di Python precedenti alla 2.7.6. Questi problemi vengono risolti con l'aggiornamento di Python alla versione 2.7.10.

    ID CVE

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'analisi di un documento Microsoft Office dannoso potrebbe causare una chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: è presente un problema di danneggiamento della memoria nell'analisi dei file Microsoft Office. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5773: Apple

  • QL Office

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'analisi di un file XML dannoso può determinare la divulgazione delle informazioni utente.

    Descrizione: si verifica un problema di riferimento a entità esterne nell'analisi dei file XML. Questo problema viene risolto attraverso una migliore analisi.

    ID CVE

    CVE-2015-3784: Bruno Morisson di INTEGRITY S.A.

  • Framework Quartz Composer

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'analisi di un file QuickTime dannoso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: è presente un problema di danneggiamento della memoria nell'analisi dei file QuickTime. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5771: Apple

  • QuickLook

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: la ricerca di un sito web visualizzato in precedenza può avviare il browser web e visualizzare quel sito web.

    Descrizione: si verifica un problema per cui QuickLook consente l'esecuzione di JavaScript. Questo problema viene risolto disattivando l'esecuzione di JavaScript.

    ID CVE

    CVE-2015-3781: Andrew Pouliot di Facebook, Anto Loyola di Qubole

  • QuickTime 7

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria in QuickTime. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753: Apple

    CVE-2015-5779: Apple

  • QuickTime 7

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria in QuickTime. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3765: Joe Burnett di Audio Poison

    CVE-2015-3788: Ryan Pentney e Richard Johnson di Cisco Talos

    CVE-2015-3789: Ryan Pentney e Richard Johnson di Cisco Talos

    CVE-2015-3790: Ryan Pentney e Richard Johnson di Cisco Talos

    CVE-2015-3791: Ryan Pentney e Richard Johnson di Cisco Talos

    CVE-2015-3792: Ryan Pentney e Richard Johnson di Cisco Talos

    CVE-2015-5751: WalkerFuz

  • SceneKit

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: la visualizzazione di un file Collada dannoso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer della memoria heap nella gestione dei file Collada da parte SceneKit. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-5772: Apple

  • SceneKit

    Disponibile per: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: è presente un problema di danneggiamento della memoria in SceneKit. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3783: Haris Andrianakis di Google Security Team

  • Sicurezza

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un utente standard può ottenere l'accesso ai privilegi amministrativi senza un'adeguata autenticazione.

    Descrizione: si verifica un problema di gestione dell'autenticazione dell'utente. Questo problema viene risolto attraverso migliori controlli dell'autenticazione.

    ID CVE

    CVE-2015-3775: [Eldon Ahrold]

  • SMBClient

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nel client SMB. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3773: Ilja van Sprundel

  • Interfaccia utente con comandi vocali

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'analisi di una stringa Unicode dannosa con avvisi vocali attivati può determinare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione delle stringhe Unicode. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3794: Adam Greenbaum di Refinitive

  • sudo

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: sono presenti diverse vulnerabilità nelle versioni di sudo precedenti a 1.7.10p9, la più grave delle quali può consentire l'accesso di un malintenzionato a file arbitrari.

    Descrizione: sono presenti diverse vulnerabilità nelle versioni di sudo precedenti a 1.7.10p9. Questi problemi vengono risolti aggiornando sudo alla versione 1.7.10p9.

    ID CVE

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: sono presenti diverse vulnerabilità in tcpdump 4.7.3, la più grave delle quali può permettere a un malintenzionato collegato in remoto di causare un DoS ("Denial of Service").

    Descrizione: sono presenti diverse vulnerabilità nelle versioni di tcpdump precedenti alla 4.7.3. Questi problemi vengono risolti con l'aggiornamento di tcpdump alla versione 4.7.3.

    ID CVE

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • Formati di testo

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'analisi di un file di testo dannoso può determinare la divulgazione delle informazioni utente.

    Descrizione: si verifica un problema di riferimento a entità esterne XML con l'analisi TextEdit. Questo problema viene risolto attraverso una migliore analisi.

    ID CVE

    CVE-2015-3762: Xiaoyong Wu dell'Evernote Security Team

  • UDF

    Disponibile per: OS X Yosemite dalla versione 10.10 alla 10.10.4

    Impatto: l'elaborazione di un file DMG dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo all'analisi di immagini DMG dal formato non corretto. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3767: beist di grayhash

In OS X Yosemite 10.10.5 sono inclusi i contenuti di sicurezza di Safari 8.0.8.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: