Informazioni sui contenuti di sicurezza di macOS Sierra 10.12.2, dell'aggiornamento di sicurezza 2016-003 per El Capitan e dell'aggiornamento di sicurezza 2016-007 per Yosemite

In questo documento vengono descritti i contenuti di sicurezza di macOS Sierra 10.12.2, dell'aggiornamento di sicurezza 2016-003 per El Capitan e dell'aggiornamento di sicurezza 2016-007 per Yosemite.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano ID CVE per indicare le vulnerabilità.

macOS Sierra 10.12.2, aggiornamento di sicurezza 2016-003 per El Capitan e aggiornamento di sicurezza 2016-007 per Yosemite

Rilasciato il 13 dicembre 2016

apache_mod_php

Disponibile per: macOS Sierra 10.12.1

Impatto: un malintenzionato collegato in remoto potrebbe causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.

Descrizione: nelle versioni di PHP precedenti alla 5.6.26 esistevano diversi problemi, che stati risolti con l'aggiornamento a PHP 5.6.26.

CVE-2016-7411

CVE-2016-7412

CVE-2016-7413

CVE-2016-7414

CVE-2016-7416

CVE-2016-7417

CVE-2016-7418

AppleGraphicsPowerManagement

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può causare un'interruzione del servizio

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7609: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro

Risorse

Disponibile per: macOS Sierra 10.12.1

Impatto: un malintenzionato locale potrebbe modificare le risorse mobili scaricate.

Descrizione: si verificava un problema di autorizzazioni nelle risorse mobili. Il problema è stato risolto attraverso migliori restrizioni di accesso.

CVE-2016-7628: Marcel Bresink di Marcel Bresink Software-Systeme

Voce aggiornata il 15 dicembre 2016

Audio

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7658: Haohao Kong di Keen Lab (@keen_lab) di Tencent

CVE-2016-7659: Haohao Kong di Keen Lab (@keen_lab) di Tencent

Bluetooth

Disponibile per: macOS Sierra 10.12.1, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel 

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa e Marko Laakso di Synopsys Software Integrity Group

Voce aggiornata il 14 dicembre 2016

Bluetooth

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7605: daybreaker di Minionz

Bluetooth

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può eseguire codice arbitrario con privilegi di sistema

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7617: Radu Motspan in collaborazione con Zero Day Initiative di Trend Micro, Ian Beer di Google Project Zero

CoreCapture

Disponibile per: macOS Sierra 10.12.1 e OS X El Capitan 10.11.6

Impatto: un utente locale può causare un'interruzione del servizio

Descrizione: un problema nella dereferenziazione del puntatore null è stato risolto attraverso una migliore gestione dello stato.

CVE-2016-7604: daybreaker di Minionz

Voce aggiornata il 14 dicembre 2016

CoreFoundation

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di stringhe pericolose può causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria nell'elaborazione delle stringhe. Il problema è stato risolto attraverso un migliore controllo dei limiti.

CVE-2016-7663: un ricercatore anonimo

CoreGraphics

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di un file di font pericoloso può causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

Display esterni CoreMedia

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione locale può essere in grado di eseguire codice arbitrario nel contesto di un daemon mediaserver.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7655: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro

CoreMedia Playback

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di un file .mp4 pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7588: dragonltx di Huawei 2012 Laboratories

CoreStorage

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può causare un'interruzione del servizio

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7603: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro

CoreText

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificavano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi sono stati risolti attraverso una migliore verifica dei limiti.

CVE-2016-7595: riusksk(泉哥) di Tencent Security Platform Department

CoreText

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di una stringa dannosa può causare un'interruzione del servizio.

Descrizione: un errore durante il rendering dei range sovrapposti è stato risolto grazie a una migliore convalida.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) di Digital Unit (dgunit.com)

Voce aggiunta il 15 dicembre 2016

curl

Disponibile per: macOS Sierra 10.12.1

Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.

Descrizione: diversi problemi presenti in curl. Questi problemi sono stati risolti con l'aggiornamento di curl alla versione 7.51.0.

CVE-2016-5419

CVE-2016-5420

CVE-2016-5421

CVE-2016-7141

CVE-2016-7167

CVE-2016-8615

CVE-2016-8616

CVE-2016-8617

CVE-2016-8618

CVE-2016-8619

CVE-2016-8620

CVE-2016-8621

CVE-2016-8622

CVE-2016-8623

CVE-2016-8624

CVE-2016-8625

Servizi directory

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7633: Ian Beer di Google Project Zero

Immagini del disco

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7616: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro

FontParser

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificavano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi sono stati risolti attraverso una migliore verifica dei limiti.

CVE-2016-4691: riusksk(泉哥) di Tencent Security Platform Department

Foundation

Disponibile per: macOS Sierra 10.12.1

Impatto: l'apertura di un file .gcx dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7618: riusksk(泉哥) di Tencent Security Platform Department

Grapher

Disponibile per: macOS Sierra 10.12.1

Impatto: l'apertura di un file .gcx dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7622: riusksk(泉哥) di Tencent Security Platform Department

ICU

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7594: André Bargull

ImageIO

Disponibile per: macOS Sierra 10.12.1

Impatto: un malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso il miglioramento del controllo dei limiti.

CVE-2016-7643: Yangkang (@dnpushme) di Qihoo360 Qex Team

Driver Intel Graphics

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel 

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7602: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro

IOFireWireFamily

Disponibile per: macOS Sierra 10.12.1

Impatto: un malintenzionato locale può essere in grado di leggere la memoria del kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7608: Brandon Azad

IOAcceleratorFamily

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7624: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro

IOHIDFamily

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione locale con privilegi di sistema può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7591: daybreaker di Minionz

IOKit

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può essere in grado di leggere la memoria del kernel

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7657: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro

IOKit

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7625: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro

IOKit

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7714: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 25 gennaio 2017

IOSurface

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7620: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel 

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2016-7606: @cocoahuke, Chen Qin di Topsec Alpha Team (topsec.com)

CVE-2016-7612: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può essere in grado di leggere la memoria del kernel

Descrizione: un problema di inizializzazione insufficiente è stato risolto tramite inizializzazione corretta della memoria restituita allo spazio utente.

CVE-2016-7607: Brandon Azad

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può causare un'interruzione del servizio

Descrizione: un DoS è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7615: National Cyber Security Centre (NCSC) nel Regno Unito

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale potrebbe riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7621: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7637: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione locale con privilegi di sistema può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7644: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio.

Descrizione: un DoS è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7647: Lufeng Li di Qihoo 360 Vulcan Team

Voce aggiunta il 17 maggio 2017

Strumenti kext

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel 

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7629: @cocoahuke

libarchive

Disponibile per: macOS Sierra 10.12.1

Impatto: un malintenzionato locale può essere in grado di sovrascrivere i file esistenti.

Descrizione: si verificava un problema di convalida nella gestione dei collegamenti simbolici. Il problema è stato risolto attraverso una migliore convalida dei collegamenti simbolici.

CVE-2016-7619: un ricercatore anonimo

LibreSSL

Disponibile per: macOS Sierra 10.12.1 e OS X El Capitan 10.11.6

Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe causare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio nella crescita di OCSP illimitata è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-6304

Voce aggiornata il 14 dicembre 2016

OpenLDAP

Disponibile per: macOS Sierra 10.12.1

Impatto: un malintenzionato può essere in grado di sfruttare le debolezze dell'algoritmo crittografico RC4

Descrizione: RC4 è stato rimosso come crittografia predefinita.

CVE-2016-1777: Pepi Zawodsky

OpenPAM

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale senza privilegi può ottenere l'accesso ad applicazioni privilegiate.

Descrizione: l'autenticazione PAM nelle applicazioni sandbox non riusciva in modo non protetto. Il problema è stato risolto attraverso una migliore gestione degli errori.

CVE-2016-7600: Perette Barella di DeviousFish.com

OpenSSL

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può eseguire codice arbitrario

Descrizione: si verificava un problema di overflow in MDC2_Update(). Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-6303

OpenSSL

Disponibile per: macOS Sierra 10.12.1

Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe causare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio nella crescita di OCSP illimitata è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-6304

Gestione dell'alimentazione

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema nei riferimenti dei nomi mach port è stato risolto attraverso una migliore convalida.

CVE-2016-7661: Ian Beer di Google Project Zero

Sicurezza

Disponibile per: macOS Sierra 10.12.1

Impatto: un malintenzionato può essere in grado di sfruttare le debolezze dell'algoritmo crittografico 3DES.

Descrizione: 3DES è stato rimosso come crittografia predefinita.

CVE-2016-4693: Gaëtan Leurent e Karthikeyan Bhargavan di INRIA Parigi

Sicurezza

Disponibile per: macOS Sierra 10.12.1

Impatto: un malintenzionato con una posizione privilegiata in rete può causare un DoS ("Denial of Service").

Descrizione: si verificava un problema di convalida nella gestione degli URL del responder OCSP. Il problema è stato risolto verificando lo stato della revoca OCSP dopo la convalida CA e limitando il numero di richieste OCSP per certificato.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Sicurezza

Disponibile per: macOS Sierra 10.12.1

Impatto: i certificati potrebbero essere inaspettatamente valutati come attendibili.

Descrizione: si verificava un problema di valutazione dei certificati nella convalida dei certificati. Il problema è stato risolto attraverso un'ulteriore convalida dei certificati.

CVE-2016-7662: Apple

syslog

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema nei riferimenti dei nomi mach port è stato risolto attraverso una migliore convalida.

CVE-2016-7660: Ian Beer di Google Project Zero

Wi-Fi

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di visualizzare informazioni sensibili sulla configurazione di rete.

Descrizione: configurazione di rete globale in modo imprevisto. Il problema è stato risolto spostando la configurazione di rete sensibile nelle impostazioni per utente.

CVE-2016-7761: Peter Loos, Karlsruhe, Germania

Voce aggiunta il 24 gennaio 2017

xar

Disponibile per: macOS Sierra 10.12.1

Impatto: l'apertura di un archivio pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: l'uso di una variabile non inizializzata è stato risolto attraverso una convalida migliorata.

CVE-2016-7742: Gareth Evans di Context Information Security

Voce aggiunta il 10 gennaio 2017

macOS Sierra 10.12.2, l'aggiornamento di sicurezza 2016-003 per El Capitan e l'aggiornamento di sicurezza 2016-007 per Yosemite includono i contenuti di sicurezza di Safari 10.0.2.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: