Informazioni sui contenuti di sicurezza di macOS Sierra 10.12.4, dell'aggiornamento di sicurezza 2017-001 per El Capitan e dell'aggiornamento di sicurezza 2017-001 per Yosemite

In questo documento vengono descritti i contenuti di sicurezza di macOS Sierra 10.12.4, dell'aggiornamento di sicurezza 2017-001 per El Capitan e dell'aggiornamento di sicurezza 2017-001 per Yosemite.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

macOS Sierra 10.12.4, aggiornamento di sicurezza 2017-001 per El Capitan e aggiornamento di sicurezza 2017-001 per Yosemite

Rilasciato il 27 marzo 2017

Apache

Disponibile per: macOS Sierra 10.12.3

Impatto: un malintenzionato collegato in remoto può causare un'interruzione del servizio.

Descrizione: nelle versioni di Apache precedenti alla 2.4.25 erano presenti diversi problemi, che sono stati risolti con l'aggiornamento di Apache alla versione 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Voce aggiornata il 28 marzo 2017

apache_mod_php

Disponibile per: macOS Sierra 10.12.3

Impatto: più problemi presenti in PHP nelle versioni precedenti alla 5.6.30.

Descrizione: nelle versioni di PHP precedenti alla 5.6.30 erano presenti diversi problemi, che sono stati risolti con l'aggiornamento di PHP alla versione 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso una migliore gestione della memoria.

CVE-2017-2421: @cocoahuke

AppleRAID

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.

CVE-2017-2438: sss e Axis di 360 Nirvan Team

Audio

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un file audio pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2430: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-2462: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

Bluetooth

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa e Marko Laakso di Synopsys Software Integrity Group

Bluetooth

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2017-2427: Axis e sss di Qihoo 360 Nirvan Team

Bluetooth

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2449: sss e Axis di 360 Nirvan Team

Carbon

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un file con estensione .dfont pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verifica un overflow del buffer nella gestione dei file font. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2379: riusksk (泉哥) di Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio.

Descrizione: una ricorsione infinita è stata risolta tramite una migliore gestione dello stato.

CVE-2017-2417: riusksk (泉哥) di Tencent Security Platform Department

CoreMedia

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un file con estensione .mov pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file .mov. Il problema è stato risolto mediante una migliore gestione della memoria.

CVE-2017-2431: kimyok di Tencent Security Platform Department

CoreText

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un font pericoloso può causare la divulgazione dei contenuti della memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida degli input.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un messaggio di testo pericoloso può causare l'interruzione del servizio di un'applicazione.

Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2461: Isaac Archambault di IDAoADI, ricercatore autonomo

curl

Disponibile per: macOS Sierra 10.12.3

Impatto: un input utente pericoloso nell'API libcurl può consentire l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2016-9586: Daniel Stenberg di Mozilla

EFI

Disponibile per: macOS Sierra 10.12.3

Impatto: un adattatore Thunderbolt pericoloso potrebbe essere in grado di recuperare la password di crittografia di FileVault 2.

Descrizione: si verificava un problema nella gestione di DMA. Il problema è stato risolto abilitando VT-d in EFI.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

Disponibile per: macOS Sierra 10.12.3

Impatto: i permessi potrebbero essere reimpostati in modo imprevisto quando si inviano link.

Descrizione: si verificava un problema di autorizzazione nella gestione della funzione Invia link di Condivisione iCloud. Il problema è stato risolto attraverso migliori controlli dei permessi.

CVE-2017-2429: Raymond Wong DO di Arnot Ogden Medical Center

Voce aggiornata il 23 agosto 2017

FontParser

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2017-2487: riusksk (泉哥) di Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) di Tencent Security Platform Department

FontParser

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un file di font pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2017-2407: riusksk (泉哥) di Tencent Security Platform Department

FontParser

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un font pericoloso può causare la divulgazione dei contenuti della memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida degli input.

CVE-2017-2439: John Villamil, Doyensec

FontParser

Disponibile per: OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario. 

Descrizione: si verifica un overflow del buffer nella gestione dei file font. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

CVE-2016-4688: Simon Huang dell'azienda Alipay

Voce aggiunta l'11 aprile 2017

HTTPProtocol

Disponibile per: macOS Sierra 10.12.3

Impatto: un server HTTP/2 pericoloso potrebbe causare un comportamento non definito.

Descrizione: nelle versioni di nghttp2 precedenti alla 1.17.0 esistevano diversi problemi, che sono stati risolti con l'aggiornamento di nghttp2 alla versione 1.17.0.

CVE-2017-2428

Voce aggiornata il 28 marzo 2017

Hypervisor

Disponibile per: macOS Sierra 10.12.3

Impatto: le applicazioni che utilizzano il framework Hypervisor potrebbero inaspettatamente perdere il registro di controllo CR8 tra guest e host.

Descrizione: un problema di perdita di informazioni è stato risolto attraverso una migliore gestione dello stato.

CVE-2017-2418: Alex Fishman e Izik Eidus di Veertu Inc.

iBooks

Disponibile per: macOS Sierra 10.12.3

Impatto: l'analisi di un file iBooks pericoloso può causare la divulgazione di file locali.

Descrizione: si verificava un problema di perdita di informazioni nella gestione degli URL. Questo problema è stato risolto mediante una migliore gestione degli URL.

CVE-2017-2426: Craig Arendt di Stratum Security, Jun Kokatsu (@shhnjk)

ImageIO

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un'immagine pericolosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) di KeenLab, Tencent

ImageIO

Disponibile per: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: la visualizzazione di un file JPEG pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2432: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

ImageIO

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un file pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2467

ImageIO

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un'immagine pericolosa può causare la chiusura improvvisa dell'applicazione.

Descrizione: nelle versioni di LibTIFF precedenti alla 4.0.7 esisteva un problema di lettura non nei limiti, che è stato risolto con l'aggiornamento di LibTIFF in ImageIO alla versione 4.0.7.

CVE-2016-3619

Driver Intel Graphics

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel 

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2017-2443: Ian Beer di Google Project Zero

Driver Intel Graphics

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può essere in grado di divulgare la memoria del kernel.

Descrizione: un problema di convalida è stato risolto attraverso una migliore sanitizzazione dell'input.

CVE-2017-2489: Ian Beer di Google Project Zero

Voce aggiunta il 31 marzo 2017

IOATAFamily

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2017-2408: Yangkang (@dnpushme) di Qihoo360 Qex Team

IOFireWireAVC

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2017-2436: Orr A, IBM Security

IOFireWireAVC

Disponibile per: macOS Sierra 10.12.3

Impatto: un utente malintenzionato locale può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) di Blue Frost Security

IOFireWireFamily

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio

Descrizione: un problema di dereferenziazione del puntatore null viene risolto attraverso una migliore convalida dell'input.

CVE-2017-2388: Brandon Azad, un ricercatore anonimo

Kernel

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2398: Lufeng Li di Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li di Qihoo 360 Vulcan Team

Kernel

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: si verificava un problema relativo alla convalida dell'input nel kernel. Questo problema viene risolto attraverso una migliore convalida dell'input.

CVE-2017-2410: Apple

Kernel

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2017-2440: un ricercatore anonimo

Kernel

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi root.

Descrizione: una race condition è stata risolta attraverso una migliore gestione della memoria.

CVE-2017-2456: lokihardt di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2472: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2473: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un errore off-by-one è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2474: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: una race condition è stata risolta mediante un blocco migliore.

CVE-2017-2478: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2482: Ian Beer di Google Project Zero

CVE-2017-2483: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può eseguire codice arbitrario con privilegi elevati.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2490: Ian Beer di Google Project Zero, National Cyber Security Centre (NCSC) del Regno Unito

Voce aggiunta il 31 marzo 2017

Kernel

Disponibile per: macOS Sierra 10.12.3

Impatto: alla chiusura del coperchio, lo schermo potrebbe restare inaspettatamente sbloccato.

Descrizione: un problema di blocco insufficiente è stato risolto migliorando la gestione dello stato.

CVE-2017-7070: Ed McKenzie

Voce aggiunta il 10 agosto 2017

Tastiere

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può eseguire codice arbitrario

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2458: Shashank (@cyberboyIndia)

Portachiavi

Disponibile per: macOS Sierra 10.12.3

Impatto: un malintenzionato in grado di intercettare connessioni TLS può essere in grado di leggere informazioni riservate protette dal portachiavi iCloud.

Descrizione: in alcune circostanze, il portachiavi iCloud non riusciva a convalidare l'autenticità dei pacchetti OTR. Il problema è stato risolto attraverso una migliore convalida.

CVE-2017-2448: Alex Radocea di Longterm Security, Inc.

Voce aggiornata il 30 marzo 2017

libarchive

Disponibile per: macOS Sierra 10.12.3

Impatto: un utente malintenzionato locale può essere in grado di modificare le autorizzazioni del file system in directory arbitrarie.

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2017-2390: Omer Medan di enSilo Ltd

libc++abi

Disponibile per: macOS Sierra 10.12.3

Impatto: il demangling di un'applicazione C++ pericolosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2441

LibreSSL

Disponibile per: macOS Sierra 10.12.3 e OS X El Capitan 10.11.6

Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.

Descrizione: un canale laterale di timing ha permesso a un utente malintenzionato di recuperare le chiavi. Il problema è stato risolto introducendo il calcolo del tempo costante.

CVE-2016-7056: Cesar Pereida García e Billy Brumley (Tampere University of Technology)

libxslt

Disponibile per: OS X El Capitan 10.11.6

Impatto: si verificano diverse vulnerabilità in libxslt.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-2477

Voce aggiunta il 30 marzo 2017

libxslt

Disponibile per: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 e Yosemite 10.10.5

Impatto: si verificano diverse vulnerabilità in libxslt.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-5029: Holger Fuhrmannek

Voce aggiunta il 28 marzo 2017

MCX Client

Disponibile per: macOS Sierra 10.12.3

Impatto: la rimozione di un profilo di configurazione con più payload potrebbe non rimuovere Active Directory

Descrizione: si verificava un problema nella disinstallazione dei profili. Questo problema è stato risolto attraverso una migliore pulitura.

CVE-2017-2402: un ricercatore anonimo

Menu

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può essere in grado di divulgare la memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida degli input.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2017-2422: @cocoahuke

OpenSSH

Disponibile per: macOS Sierra 10.12.3

Impatto: più problemi in OpenSSH

Descrizione: nelle versioni di OpenSSH precedenti alla 7.4 esistevano diversi problemi, che sono stati risolti con l'aggiornamento di OpenSSH alla versione 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Disponibile per: macOS Sierra 10.12.3

Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.

Descrizione: un problema del canale laterale di timing è stato risolto utilizzando il calcolo del tempo costante.

CVE-2016-7056: Cesar Pereida García e Billy Brumley (Tampere University of Technology)

Stampa

Disponibile per: macOS Sierra 10.12.3

Impatto: facendo clic su un link IPP(S) pericoloso si potrebbe causare l'esecuzione di codice arbitrario.

Descrizione: un problema di stringa del formato non controllata è stato risolto tramite una migliore convalida degli input.

CVE-2017-2403: beist di GrayHash

python

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di archivi zip pericolosi con Python potrebbe causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria nella gestione degli archivi zip. Questo problema viene risolto attraverso una migliore convalida dell'input.

CVE-2016-5636

QuickTime

Disponibile per: macOS Sierra 10.12.3

Impatto: la visualizzazione di un file multimediale pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria in QuickTime. Il problema è stato risolto mediante una migliore gestione della memoria.

CVE-2017-2413: Simon Huang(@HuangShaomang) e pjf di IceSword Lab di Qihoo 360

Sicurezza

Disponibile per: macOS Sierra 10.12.3

Impatto: la convalida delle firme vuote con SecKeyRawVerify() potrebbe avere esito positivo in modo inatteso.

Descrizione: si verificava un problema di convalida relativo alle chiamate API crittografiche. Il problema è stato risolto attraverso una migliore convalida dei parametri.

CVE-2017-2423: un ricercatore anonimo

Sicurezza

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione può eseguire codice arbitrario con privilegi root.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2451: Alex Radocea di Longterm Security, Inc.

Sicurezza

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un certificato x509 pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria durante l'analisi dei certificati. Questo problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2485: Aleksandar Nikolic di Cisco Talos

SecurityFoundation

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un certificato pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo double free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2425: kimyok di Tencent Security Platform Department

sudo

Disponibile per: macOS Sierra 10.12.3

Impatto: un utente in un gruppo denominato "admin" in un server di directory di rete potrebbe essere in grado di eseguire inaspettatamente l'escalation dei privilegi usando sudo.

Descrizione: si verificava un problema di accesso in sudo. Questo problema è stato risolto attraverso un migliore controllo dei permessi.

CVE-2017-2381

Protezione integrata di sistema

Disponibile per: macOS Sierra 10.12.3

Impatto: un'applicazione pericolosa potrebbe essere in grado di modificare la posizione dei dischi protetti.

Descrizione: si verificava un problema di convalida nella gestione dell'installazione del sistema. Questo problema è stato risolto tramite una migliore gestione e convalida durante il processo di installazione.

CVE-2017-6974: Patrick Wardle di Synack

tcpdump

Disponibile per: macOS Sierra 10.12.3

Impatto: un malintenzionato in una posizione privilegiata sulla rete può causare l'esecuzione di codice arbitrario con l'aiuto dell'utente.

Descrizione: nelle versioni di tcpdump precedenti alla 4.9.0 esistevano diversi problemi, che sono stati risolti con l'aggiornamento di tcpdump alla versione 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Disponibile per: macOS Sierra 10.12.3

Impatto: l'elaborazione di un'immagine pericolosa può causare la chiusura improvvisa dell'applicazione.

Descrizione: nelle versioni di LibTIFF precedenti alla 4.0.7 esisteva un problema di lettura non nei limiti che è stato risolto con l’aggiornamento di LibTIFF in AKCmds alla versione 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

macOS Sierra 10.12.4, l'aggiornamento della sicurezza 2017-001 per El Capitan e l'aggiornamento della sicurezza 2017-001 per Yosemite include i contenuti di sicurezza di Safari 10.1.

Altri riconoscimenti

XNU

Ringraziamo Lufeng Li di Qihoo 360 Vulcan Team per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: