Informazioni sui contenuti relativi alla sicurezza di macOS Sierra 10.12.1, Aggiornamento di sicurezza 2016-002 di El Capitan e Aggiornamento di sicurezza 2016-006 Yosemite

In questo documento vengono descritti i contenuti relativi alla sicurezza di macOS Sierra 10.12.1, Aggiornamento di sicurezza 2016-002 di El Capitan e Aggiornamento di sicurezza 2016-006 di Yosemite.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, consulta la pagina Sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano ID CVE per indicare le vulnerabilità.

macOS Sierra 10.12.1, Aggiornamento di sicurezza 2016-002 di El Capitan e Aggiornamento di sicurezza 2016-006 di Yosemite

Data di rilascio: 24 ottobre 2016

AppleGraphicsControl

Disponibile per: OS X Yosemite 10.10.5 e OS X El Capitan 10.11.6

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso un migliore controllo dello stato di blocco.

CVE-2016-4662: Apple

AppleMobileFileIntegrity

Disponibile per: macOS Sierra 10.12

Impatto: un eseguibile firmato potrebbe sostituire il codice con lo stesso ID team

Descrizione: si verifica un problema di convalida nella gestione delle firme dei codici. Questo problema viene risolto attraverso una convalida aggiuntiva.

CVE-2016-7584: Mark Mentovai e Boris Vidolov di Google Inc.

Voce aggiunta il 27 novembre 2016

AppleSMC

Disponibile per: macOS Sierra 10.12

Impatto: un utente locale può essere in grado di rendere i privilegi più elevati

Descrizione: un problema nella dereferenziazione del puntatore null viene risolto attraverso un blocco migliore.

CVE-2016-4678: daybreaker@Minionz in collaborazione con Trend Micro's Zero Day Initiative

ATS

Disponibile per: macOS Sierra 10.12

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4667: Simon Huang di alipay, Thelongestusernameofall@gmail.com, Moony Li di TrendMicro, @Flyic

Voce aggiornata il 27 ottobre 2016

ATS

Disponibile per: macOS Sierra 10.12

Impatto: un utente locale può essere in grado di eseguire codice arbitrario con privilegi aggiuntivi

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4674: Shrek_wzw di Qihoo 360 Nirvan Team

Proxy CFNetwork

Disponibile per: macOS Sierra 10.12

Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti

Descrizione: si verifica un problema di phishing nella gestione delle credenziali proxy. Questo problema viene risolto rimuovendo richieste indesiderate di autenticazione della password proxy.

CVE-2016-7579: Jerry Decime

Core Image

Disponibile per: OS X El Capitan 10.11.6

Impatto: la visualizzazione di un file JPEG dannoso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2016-4681: Ke Liu di Tencent's Xuanwu Lab

Voce aggiunta il 25 ottobre 2016

CoreGraphics

Disponibile per: macOS Sierra 10.12

Impatto: la visualizzazione di un file JPEG dannoso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4673: Marco Grassi (@marcograss) di KeenLab (@keen_lab), Tencent

FaceTime

Disponibile per: macOS Sierra 10.12

Impatto: un malintenzionato in una posizione privilegiata sulla rete può essere in grado di continuare a trasmettere l'audio di una chiamata inoltrata anche se la chiamata sembra terminata

Descrizione: si verificano incoerenze nell'interfaccia utente nella gestione delle chiamate inoltrate. Questi problemi vengono risolti con una migliore logica del protocollo.

CVE-2016-7577: Martin Vigo (@martin_vigo) di salesforce.com

Voce aggiunta il 27 ottobre 2016

FontParser

Disponibile per: macOS Sierra 10.12

Impatto: l'analisi di un font pericoloso può divulgare informazioni sensibili degli utenti

Descrizione: un problema di lettura non nei limiti viene risolto attraverso il miglioramento del controllo dei limiti.

CVE-2016-4660: Ke Liu di Tencent's Xuanwu Lab

FontParser

Disponibile per: macOS Sierra 10.12

Impatto: l'elaborazione di un file di caratteri dannoso può causare l'esecuzione di codice arbitrario 

Descrizione: si verifica un overflow del buffer nella gestione dei file di caratteri. Questo problema viene risolto attraverso un migliore controllo dei limiti.

CVE-2016-4688: Simon Huang dell'azienda Alipay, thelongestusernameofall@gmail.com

Voce aggiunta il 27 novembre 2016

IDS - Connettività

Disponibile per: macOS Sierra 10.12

Impatto: un utente malintenzionato con una posizione privilegiata nella rete potrebbe indurre un utente a partecipare a una chiamata in teleconferenza pensando di parlare con l'altra parte

Descrizione: si verifica un problema di sostituzione di identità nella gestione della commutazione della chiamata. Questo problema viene risolto con una migliore gestione delle notifiche di cambio chiamante.

CVE-2016-4721: Martin Vigo (@martin_vigo) di salesforce.com

Voce aggiunta il 27 ottobre 2016

ImageIO

Disponibile per: OS X El Capitan 10.11.6

Impatto: l'analisi di un PDF pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di scrittura non nei limiti viene risolto attraverso il miglioramento del controllo dei limiti.

CVE-2016-4671: Ke Liu di Tencent's Xuanwu Lab, Juwei Lin (@fuzzerDOTcn)

ImageIO

Disponibile per: OS X Yosemite 10.10.5 e OS X El Capitan 10.11.6

Impatto: l'elaborazione di un'immagine pericolosa può causare la divulgazione dei contenuti della memoria di elaborazione

Descrizione: problema di lettura non nei limiti presente nell'analisi delle immagini SGI. Questo problema viene risolto attraverso un migliore controllo dei limiti.

CVE-2016-4682: Ke Liu di Tencent's Xuanwu Lab

ImageIO

Disponibile per: OS X El Capitan 10.11.6

Impatto: un malintenzionato collegato in remoto potrebbe eseguire un codice arbitrario

Descrizione: si verificano più problemi di lettura e scrittura non nei limiti nell'analisi di SGI. Questi problemi vengono risolti attraverso una migliore convalida dell'input.

CVE-2016-4683: Ke Liu di Tencent’s Xuanwu Lab

Voce aggiunta il 25 ottobre 2016

Kernel

Disponibile per: OS X Yosemite 10.10.5 e OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impatto: un utente locale potrebbe riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel

Descrizione: si verificano diversi problemi di convalida nei codici generati da MIG. Questi problemi vengono risolti attraverso una migliore convalida.

CVE-2016-4669: Ian Beer di Google Project Zero

Voce aggiornata il 2 novembre 2016

Kernel

Disponibile per: macOS Sierra 10.12

Impatto: un'applicazione locale può eseguire codice arbitrario con privilegi root

Descrizione: si verificano diversi problemi di durata degli oggetti quando si generano nuovi processi. Questi problemi vengono risolti con una migliore convalida.

CVE-2016-7613: Ian Beer di Google Project Zero

Voce aggiunta il 1° novembre 2016

libarchive

Disponibile per: macOS Sierra 10.12

Impatto: un archivio pericoloso può essere in grado di sovrascrivere i file arbitrari

Descrizione: si verifica un problema all'interno della logica di convalida dei percorsi per i link simbolici. Questo problema viene risolto migliorando la sanitizzazione dei percorsi.

CVE-2016-4679: Omer Medan di enSilo Ltd

libxpc

Disponibile per: macOS Sierra 10.12

Impatto: un'applicazione può eseguire codice arbitrario con privilegi root

Descrizione: un problema di logica viene risolto attraverso restrizioni aggiuntive.

CVE-2016-4675: Ian Beer di Google Project Zero

Voce aggiornata il 30 marzo 2017

ntfs

Disponibile per: macOS Sierra 10.12

Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio

Descrizione: si verifica un problema nell'analisi delle immagini del disco. Questo problema viene risolto attraverso una migliore convalida.

CVE-2016-4661: Recurity Labs per conto di BSI (German Federal Office for Information Security)

NVIDIA Graphics Drivers

Disponibile per: OS X Yosemite 10.10.5 e OS X El Capitan 10.11.6

Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2016-4663: Apple

Sicurezza

Disponibile per: macOS Sierra 10.12

Impatto: un utente malintenzionato locale può guardare la lunghezza di una password di accesso quando l'utente effettua l'accesso

Descrizione: si verifica un problema di registrazione nella gestione delle password. Questo problema viene risolto rimuovendo la registrazione della lunghezza delle password.

CVE-2016-4670: Daniel Jalkut di Red Sweater Software

Voce aggiornata il 25 ottobre 2016

Thunderbolt

Disponibile per: macOS Sierra 10.12

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di dereferenziazione del puntatore null viene risolto attraverso una migliore convalida dell'input. 

CVE-2016-4780: sweetchip di Grayhash

Voce aggiunta il 29 novembre 2016

macOS Sierra 10.12.1 include i contenuti di sicurezza di Safari 10.0.1.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: