Informazioni sui contenuti di sicurezza di OS X El Capitan 10.11.5 e sull'aggiornamento di sicurezza 2016-003

In questo documento vengono descritti i contenuti di sicurezza di OS X El Capitan 10.11.5 e l'aggiornamento di sicurezza 2016-003.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web Sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta Aggiornamenti di sicurezza Apple.

OS X El Capitan 10.11.5 e aggiornamento di sicurezza 2016-003

  • AMD

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1792: beist e ABH di BoB

  • AMD

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può essere in grado di determinare il layout della memoria del kernel

    Descrizione: si verifica un problema che causa la divulgazione dei contenuti della memoria del kernel. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2016-1791: daybreaker di Minionz

  • apache_mod_php

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: diverse vulnerabilità in PHP.

    Descrizione: sono presenti diverse vulnerabilità nelle versioni di PHP precedenti alla 5.5.34. Questi problemi vengono risolti con l'aggiornamento di PHP alla versione 5.5.34.

    ID CVE

    CVE-2015-8865

    CVE-2016-3141

    CVE-2016-3142

    CVE-2016-4070

    CVE-2016-4071

    CVE-2016-4072

    CVE-2016-4073

  • AppleGraphicsControl

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: un problema nella dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.

    ID CVE

    CVE-2016-1793: Ian Beer di Google Project Zero

    CVE-2016-1794: Ian Beer di Google Project Zero

  • AppleGraphicsPowerManagement

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1795: Moony Li (@Flyic) e Jack Tang (@jacktang310) di Trend Micro

  • ATS

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.

    Descrizione: un problema di accesso alla memoria fuori dai limiti viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1796: lokihardt in collaborazione con Zero Day Initiative di Trend Micro

  • ATS

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi di sistema

    Descrizione: si verifica un problema nella politica della sandbox. Questo problema viene risolto effettuando il sandboxing di FontValidator.

    ID CVE

    CVE-2016-1797: lokihardt in collaborazione con Zero Day Initiative di Trend Micro

  • Audio

    Disponibile per: OS X Yosemite 10.10.5 e OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio

    Descrizione: un problema nella dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.

    ID CVE

    CVE-2016-1798: Juwei Lin di TrendMicro

  • Audio

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2016-1799: Juwei Lin di TrendMicro

  • Captive Network Assistant

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11 e versioni successive

    Impatto: un malintenzionato in una posizione privilegiata sulla rete può causare l'esecuzione di codice arbitrario con l'aiuto dell'utente

    Descrizione: un problema relativo alla gestione di uno schema URL personalizzato viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2016-1800: Apple

  • Proxy CFNetwork

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni degli utenti

    Descrizione: si verifica un problema di divulgazione delle informazioni nella gestione delle richieste HTTP o HTTPS. Questo problema viene risolto mediante una migliore gestione degli URL.

    ID CVE

    CVE-2016-1801: Alex Chapman e Paul Stone di Context Information Security

  • CommonCrypto

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione pericolosa può essere in grado di divulgare informazioni riservate degli utenti

    Descrizione: si verifica un problema nella gestione dei valori restituiti in CCCrypt. Questo problema viene risolto attraverso una migliore gestione della lunghezza della chiave.

    ID CVE

    CVE-2016-1802: Klaus Rodewig

  • CoreCapture

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: un problema nella dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.

    ID CVE

    CVE-2016-1803: Ian Beer di Google Project Zero, daybreaker in collaborazione con Zero Day Initiative di Trend Micro

  • CoreStorage

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: un problema di configurazione viene risolto attraverso restrizioni aggiuntive.

    ID CVE

    CVE-2016-1805: Stefan Esser

  • Resoconto Crash

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi root

    Descrizione: un problema di configurazione viene risolto attraverso restrizioni aggiuntive.

    ID CVE

    CVE-2016-1806: lokihardt in collaborazione con Zero Day Initiative di Trend Micro

  • Immagini del disco

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un malintenzionato locale può leggere la memoria del kernel

    Descrizione: una race condition viene risolta mediante un blocco migliore.

    ID CVE

    CVE-2016-1807: Ian Beer di Google Project Zero

  • Immagini del disco

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: si verifica un problema di danneggiamento della memoria nell'analisi delle immagini del disco. Questo problema è stato risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2016-1808: Moony Li (@Flyic) e Jack Tang (@jacktang310) di Trend Micro

  • Utility Disco

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: mancata compressione e codifica delle immagini del disco da parte di Utility Disco

    Descrizione: uso di chiavi errate per la codifica delle immagini del disco. Questo problema è stato risolto attraverso l'aggiornamento delle chiavi di codifica.

    ID CVE

    CVE-2016-1809: Ast A. Moore (@astamoore) e David Foster di TechSmartKids

  • Driver della scheda grafica

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1810: Moony Li (@Flyic) e Jack Tang (@jacktang310) di Trend Micro

  • ImageIO

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio

    Descrizione: un problema nella dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.

    ID CVE

    CVE-2016-1811: Lander Brandt (@landaire)

  • Driver Intel Graphics

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: un overflow del buffer viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2016-1812: Juwei Lin di TrendMicro

  • Driver Intel Graphics

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può essere in grado di determinare il layout della memoria del kernel

    Descrizione: diversi problemi di accesso sono stati risolti attraverso restrizioni supplementari.

    ID CVE

    CVE-2016-1860: Brandon Azad e Qidan He (@flanker_hqd) da KeenLab, Tencent

    CVE-2016-1862: Marco Grassi (@marcograss) di KeenLab (@keen_lab), Tencent

  • IOAcceleratorFamily

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio

    Descrizione: un problema nella dereferenziazione del puntatore null viene risolto attraverso un blocco migliore.

    ID CVE

    CVE-2016-1814: Juwei Lin di TrendMicro

  • IOAcceleratorFamily

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1815: Liang Chen, Qidan He di KeenLab, Tencent in collaborazione con Zero Day Initiative di Trend Micro

    CVE-2016-1817: Moony Li (@Flyic) e Jack Tang (@jacktang310) di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

    CVE-2016-1818: Juwei Lin di TrendMicro, sweetchip@GRAYHASH in collaborazione con Zero Day Initiative di Trend Micro

    CVE-2016-1819: Ian Beer di Google Project Zero

    Voce aggiornata il 13 dicembre 2016

  • IOAcceleratorFamily

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: un problema nella dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.

    ID CVE

    CVE-2016-1813: Ian Beer di Google Project Zero

    CVE-2016-1816: Peter Pi (@heisecode) di Trend Micro e Juwei Lin di Trend Micro

  • IOAudioFamily

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: un overflow del buffer viene risolto con un migliore controllo dei limiti.

    ID CVE

    CVE-2016-1820: Moony Li (@Flyic) e Jack Tang (@jacktang310) di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

  • IOAudioFamily

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: un problema nella dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.

    ID CVE

    CVE-2016-1821: Ian Beer di Google Project Zero

  • IOFireWireFamily

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1822: CESG

  • IOHIDFamily

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1823: Ian Beer di Google Project Zero

    CVE-2016-1824: Marco Grassi (@marcograss) di KeenLab (@keen_lab), Tencent

    CVE-2016-4650: Peter Pi di Trend Micro in collaborazione con Zero Day Initiative di HP

  • IOHIDFamily

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1825: Brandon Azad

  • Kernel

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1827: Brandon Azad

    CVE-2016-1828: Brandon Azad

    CVE-2016-1829: CESG

    CVE-2016-1830: Brandon Azad

    CVE-2016-1831: Brandon Azad

  • Kernel

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: si verifica un overflow di numeri interi in dtrace. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2016-1826: Ben Murphy in collaborazione con Zero Day Initiative di Trend Micro

  • libc

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un malintenzionato locale può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2016-1832: Karl Williamson

  • libxml2

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11 e versioni successive

    Impatto: l'elaborazione di un XML pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1833: Mateusz Jurczyk

    CVE-2016-1834: Apple

    CVE-2016-1835: Wei Lei e Liu Yang di Nanyang Technological University

    CVE-2016-1836: Wei Lei e Liu Yang di Nanyang Technological University

    CVE-2016-1837: Wei Lei e Liu Yang di Nanyang Technological University

    CVE-2016-1838: Mateusz Jurczyk

    CVE-2016-1839: Mateusz Jurczyk

    CVE-2016-1840: Kostya Serebryany

  • libxslt

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11 e versioni successive

    Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario

    Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1841: Sebastian Apelt

  • MapKit

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni degli utenti

    Descrizione: link condivisi inviati tramite HTTP invece di HTTPS. Il problema viene risolto mediante l'attivazione di HTTPS per i link condivisi.

    ID CVE

    CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)

  • Messaggi

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un server o utente pericoloso potrebbe essere in grado di modificare l'elenco dei contatti di un altro utente

    Descrizione: si verifica un problema di convalida nelle modifiche del registro. Questo problema viene risolto attraverso una migliore convalida dei set di registri.

    ID CVE

    CVE-2016-1844: Thijs Alkemade di Computest

  • Messaggi

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un malintenzionato collegato in remoto può essere in grado di divulgare informazioni riservate degli utenti

    Descrizione: si verifica un problema di codifica nell'analisi del nome del file. Questo problema viene risolto attraverso una migliore codifica del nome del file.

    ID CVE

    CVE-2016-1843: Heige (anche noto come SuperHei) di Knownsec 404 Security Team [http://www.knownsec.com]

  • Multi-Touch

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi di sistema

    Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1804: Liang Chen, Yubin Fu, Marco Grassi di KeenLab, Tencent di Zero Day Initiative di Trend Micro

  • NVIDIA Graphics Drivers

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1846: Ian Beer di Google Project Zero

    CVE-2016-1861: Ian Beer di Google Project Zero

  • OpenGL

    Disponibile per: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11 e versioni successive

    Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

    Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1847: Tongbo Luo e Bo Qu di Palo Alto Networks

  • QuickTime

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: l'apertura di un file pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1848: Francis Provencher di COSIG

  • SceneKit

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: l'apertura di un file pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1850: Tyler Bohan di Cisco Talos

  • Blocco schermo

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: una persona con accesso fisico a un computer potrebbe essere in grado di ripristinare una password scaduta dal blocco schermo

    Descrizione: si verifica un problema di gestione dei profili delle password. Questo problema viene risolto attraverso una migliore gestione del ripristino della password.

    ID CVE

    CVE-2016-1851: un ricercatore anonimo

  • Tcl

    Disponibile per: OS X El Capitan 10.11 e versioni successive

    Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni degli utenti

    Descrizione: un problema di sicurezza del protocollo viene risolto disattivando SSLv2.

    ID CVE

    CVE-2016-1853: ricercatori di Tel Aviv University, Münster University of Applied Sciences, Ruhr University Bochum, University of Pennsylvania, progetto Hashcat, University of Michigan, Two Sigma, Google e del progetto OpenSSL: Nimrod Aviram, Sebastian Schinzel, Juraj Somorovsky, Nadia Heninger, Maik Dankel, Jens Steube, Luke Valenta, David Adrian, J. Alex Halderman, Viktor Dukhovni, Emilia Käsper, Shaanan Cohney, Susanne Engels, Christof Paar e Yuval Shavitt

In OS X El Capitan 10.11.5 sono inclusi i contenuti di sicurezza di Safari 9.1.1.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: