Informazioni sui contenuti di sicurezza di macOS Sierra 10.12

In questo documento vengono descritti i contenuti di sicurezza di macOS Sierra 10.12.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, consulta la pagina Sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano ID CVE per indicare le vulnerabilità.

macOS Sierra 10.12

In commercio dal 20 settembre 2016

Apache

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un malintenzionato collegato in remoto può essere in grado di eseguire il proxy del traffico attraverso un server arbitrario

Descrizione: si verifica un problema nella gestione della variabile ambientale HTTP_PROXY. Questo problema viene risolto non impostando la variabile ambientale HTTP_PROXY da CGI.

CVE-2016-4694: Dominic Scheirlinck e Scott Geary di Vend

apache_mod_php

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: diversi problemi in PHP, il più significativo dei quali può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: diversi problemi in PHP vengono risolti aggiornando PHP alla versione 5.6.24.

CVE-2016-5768

CVE-2016-5769

CVE-2016-5770

CVE-2016-5771

CVE-2016-5772

CVE-2016-5773

CVE-2016-6174

CVE-2016-6288

CVE-2016-6289

CVE-2016-6290

CVE-2016-6291

CVE-2016-6292

CVE-2016-6294

CVE-2016-6295

CVE-2016-6296

CVE-2016-6297

Assistenza HSSPI Apple

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4697: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro

AppleEFIRuntime

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di dereferenziazione del puntatore null viene risolto attraverso una migliore convalida dell'input.

CVE-2016-4696: Shrek_wzw di Qihoo 360 Nirvan Team

AppleMobileFileIntegrity

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione locale può eseguire codice arbitrario con privilegi di sistema.

Descrizione: si verifica un problema di convalida nella politica di eredità delle porte dell'attività. Questo problema viene risolto attraverso una migliore convalida delle autorizzazioni del processo e dell'ID del team.

CVE-2016-4698: Pedro Vilaça

AppleUUC

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore convalida dell'input.

CVE-2016-4699: Jack Tang (@jacktang310) e Moony Li di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

CVE-2016-4700: Jack Tang (@jacktang310) e Moony Li di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

Applicazione Firewall

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un utente locale può causare un'interruzione del servizio.

Descrizione: si verifica un problema di convalida nella gestione delle richieste dei firewall. Questo problema viene risolto attraverso una migliore convalida di SO_EXECPATH.

CVE-2016-4701: Meder Kydyraliev Google Security Team

ATS

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4779: riusksk di Tencent Security Platform Department

Audio

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un malintenzionato collegato in remoto potrebbe eseguire un codice arbitrario.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park e Taekyoung Kwon di Information Security Lab, Yonsei University.

Bluetooth

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2016-4703: Juwei Lin (@fuzzerDOTcn) di Trend Micro

cd9660

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un utente locale può causare un'interruzione del servizio

Descrizione: un problema di convalida dell'input viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4706: Recurity Labs per conto di BSI (German Federal Office for Information Security)

CFNetwork

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un utente locale potrebbe scoprire quali siti web sono stati visitati da un utente

Descrizione: si verifica un problema nell'eliminazione dell'Archivio locale. Questo problema viene risolto attraverso una migliore pulitura dell'Archivio locale.

CVE-2016-4707: un ricercatore anonimo

CFNetwork

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: l'elaborazione di contenuti web pericolosi può compromettere le informazioni dell'utente

Descrizione: si verifica un problema di convalida dell'input nell'analisi dell'intestazione Set-Cookie. Questo problema viene risolto attraverso un migliore controllo della convalida.

CVE-2016-4708: Dawid Czagan di Silesia Security Lab

CommonCrypto

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione che utilizza CCrypt può causare la divulgazione di testo semplice sensibile, se i buffer di input e di output coincidono

Descrizione: si verifica un problema relativo alla convalida dell'input in corecrypto. Questo problema viene risolto attraverso una migliore convalida dell'input.

CVE-2016-4711: Max Lohrmann

CoreCrypto

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può eseguire codice arbitrario

Descrizione: viene risolto un problema di scrittura non nei limiti rimuovendo il codice vulnerabile.

CVE-2016-4712: Gergo Koteles

CoreDisplay

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un utente con accesso alla condivisione dello schermo può visualizzare lo schermo di un altro utente

Descrizione: si verifica un problema nella gestione delle sessioni di condivisione dello schermo. Il problema viene risolto migliorando il tracking della sessione.

CVE-2016-4713: Ruggero Alberti

curl

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: diversi problemi in curl

Descrizione: si verificano diversi problemi di sicurezza nella versione di curl precedente alla 7.49.1. Questi problemi vengono risolti aggiornando curl alla versione 7.49.1.

CVE-2016-0755: Isaac Boukris

Riquadro delle preferenze Data e ora

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione pericolosa può determinare la posizione corrente di un utente

Descrizione: si verifica un problema nella gestione del file .GlobalPreferences. Questo problema viene risolto attraverso una migliore convalida.

CVE-2016-4715: Taiki (@Taiki__San) presso ESIEA (Parigi)

DiskArbitration

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema

Descrizione: si verifica un problema di accesso in diskutil. Questo problema viene risolto attraverso un migliore controllo dei permessi.

CVE-2016-4716: Alexander Allen di The North Carolina School of Science and Mathematics

Contrassegno dei file

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione locale può causare un'interruzione del servizio

Descrizione: si verifica un problema di gestione delle risorse nel controllo dei segnalibri. Questo problema viene risolto attraverso una migliore gestione del descrittore di file.

CVE-2016-4717: Tom Bradley di 71Squared Ltd

FontParser

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: l'elaborazione di un font pericoloso può causare la divulgazione dei contenuti della memoria.

Descrizione: si verifica un overflow del buffer nella gestione dei file font. Questo problema viene risolto attraverso un migliore controllo dei limiti.

CVE-2016-4718: Apple

IDS - Connettività

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un malintenzionato con una posizione privilegiata in rete può causare un DoS ("Denial of Service").

Descrizione: si verificava un problema di spoofing nella gestione dei trasferimenti di chiamata. Questo problema viene risolto attraverso una migliore convalida dell'input.

CVE-2016-4722: Martin Vigo (@martin_vigo) di salesforce.com

ImageIO

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: l'elaborazione di un'immagine dannosa può causare la divulgazione della memoria dei processi.

Descrizione: problema di lettura non nei limiti presente nell'analisi delle immagini SGI. Questo problema viene risolto attraverso un migliore controllo dei limiti.

CVE-2016-4682: Ke Liu di Tencent's Xuanwu Lab

Voce aggiunta il 24 ottobre 2016

Driver Intel Graphics

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

CVE-2016-4723: daybreaker di Minionz

Driver Intel Graphics

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.

CVE-2016-7582: Liang Chen of Tencent KeenLab

Voce aggiunta il 14 novembre 2016

IOAcceleratorFamily

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di dereferenziazione del puntatore null viene risolto attraverso una migliore convalida dell'input.

CVE-2016-4724: Cererdlong, Eakerqiu di Team OverSky

IOAcceleratorFamily

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione dei contenuti della memoria

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2016-4725: Rodger Combs di Plex, Inc

IOAcceleratorFamily

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4726: un ricercatore anonimo

IOThunderboltFamily

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4727: wmin in collaborazione con Zero Day Initiative di Trend Micros

Modulo PAM di Kerberos 5

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un malintenzionato collegato in remoto potrebbe determinare l'esistenza degli account utente

Descrizione: un canale laterale di timing ha permesso a un utente di determinare l'esistenza di account utente su un sistema. Questo problema è stato risolto introducendo costanti controlli sull'orario.

CVE-2016-4745: un ricercatore anonimo

Kernel

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione locale può essere in grado di accedere a file con limitazioni

Descrizione: un problema di analisi nella gestione dei percorsi di directory viene risolto attraverso una migliore convalida dei percorsi.

CVE-2016-4771: Balazs Bucsay, Research Director di MRG Effitas

Kernel

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un malintenzionato collegato in remoto può causare un'interruzione del servizio.

Descrizione: un problema di gestione dei blocchi viene risolto attraverso una migliore gestione dei blocchi.

CVE-2016-4772: Marc Heuse di mh-sec

Kernel

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può essere in grado di determinare il layout della memoria del kernel

Descrizione: diversi problemi di lettura non nei limiti che causano la divulgazione della memoria del kernel. Questi vengono risolti attraverso una migliore convalida dell'input.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Kernel

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un utente locale può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4775: Brandon Azad

Kernel

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: si verifica un problema di dereferenziazione a un puntatore non attendibile rimuovendo il codice interessato.

CVE-2016-4777: Lufeng Li di Qihoo 360 Vulcan Team

Kernel

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

CVE-2016-4778: CESG

libarchive

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: diversi problemi in libarchive

Descrizione: si verificano diversi problemi di danneggiamento della memoria in libarchive. Questi problemi vengono risolti attraverso una migliore convalida dell'input.

CVE-2016-4736: Proteas di Qihoo 360 Nirvan Team

libxml2

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: diversi problemi in libxml2, il più significativo dei quali può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

libxpc

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione potrebbe essere in grado di uscire dalla relativa sandbox

Descrizione: diverse falle presenti nella generazione di nuovi processi con launchctl. Questi problemi sono stati risolti attraverso una migliore applicazione della politica.

CVE-2016-4617: Gregor Kopf di Recurity Labs per conto di BSI (German Federal Office for Information Security)

Voce aggiunta il 24 ottobre 2016

libxslt

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4738: Nick Wellnhofer

Mail

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un sito web dannoso può provocare un DoS (Denial Of Service)

Descrizione: un problema di DoS viene risolto attraverso una migliore gestione degli URL.

CVE-2016-7580: Sabri Haddouche (@pwnsdx)

Voce aggiunta il 1 dicembre 2016

mDNSResponder

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un malintenzionato collegato in remoto può essere in grado di visualizzare informazioni riservate

Descrizione: le applicazioni che usano VMnet.framework hanno abilitato l'ascolto di un proxy DNS su tutte le interfacce di rete. Questo problema viene risolto limitando le risposte alle query DNS a interfacce locali.

CVE-2016-4739: Magnus Skjegstad, David Scott e Anil Madhavapeddy da Docker, Inc.

NSSecureTextField

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione pericolosa può divulgare le credenziali di un utente

Descrizione: si verifica un problema nella gestione di stato in NSSecureTextField, che non è riuscito ad abilitare Secure Input. Questo problema viene risolto attraverso una migliore gestione della finestra.

CVE-2016-4742: Rick Fillion di AgileBits, Daniel Jalkut di Red Sweater Software

Perl

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un utente locale può ignorare il meccanismo di protezione della tinta

Descrizione: si verifica un problema nell'analisi delle variabili ambientali. Questo problema viene risolto attraverso una migliore convalida delle variabili ambientali.

CVE-2016-4748: Stephane Chazelas

S2 Camera

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4750: Jack Tang (@jacktang310) e Moony Li di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

Sicurezza

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione che usa SecKeyDeriveFromPassword può causare un problema di memoria

Descrizione: si verifica un problema di gestione delle risorse nella gestione della derivazione di chiave. Questo problema viene risolto aggiungendo CF_RETURNS_RETAINED a SecKeyDeriveFromPassword.

CVE-2016-4752: Mark Rogers di PowerMapper Software

Sicurezza

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: si verifica un problema di convalida nelle immagini del disco firmato. Questo problema viene risolto attraverso una migliore convalida delle dimensioni.

CVE-2016-4753: Mark Mentovai di Google Inc.

Terminale

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.

Descrizione: si verifica un problema di permessi in .bash_history e .bash_session. Questo problema viene risolto attraverso migliori restrizioni di accesso.

CVE-2016-4755: Axel Luttgens

WindowServer

Disponibile per: OS X Lion 10.7.5 e versioni successive

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema di confusione dei tipi viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4709: un ricercatore anonimo che collabora con Trend Micro's Zero Day Initiative

CVE-2016-4710: un ricercatore anonimo che collabora con Trend Micro's Zero Day Initiative

Voce aggiunta il 15 novembre 2016

macOS Sierra 10.12 include i contenuti di sicurezza di Safari 10.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: