Informazioni sui contenuti di sicurezza di macOS Sierra 10.12.5, dell'aggiornamento di sicurezza 2017-002 per El Capitan e dell'aggiornamento di sicurezza 2017-002 per Yosemite

In questo documento vengono descritti i contenuti di sicurezza di macOS Sierra 10.12.5, dell'aggiornamento di sicurezza 2017-002 per El Capitan e dell'aggiornamento di sicurezza 2017-002 per Yosemite.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

macOS Sierra 10.12.5, aggiornamento di sicurezza 2017-002 per El Capitan e aggiornamento di sicurezza 2017-002 per Yosemite

Rilasciato il 15 maggio 2017

802.1X

Disponibile per: macOS Sierra 10.12.4

Impatto: una rete dannosa con autenticazione 802.1X potrebbe essere in grado di acquisire le credenziali di rete dell'utente.

Descrizione: si verificava un problema di convalida dei certificati in EAP-TLS quando un certificato viene modificato. Questo problema è stato risolto attraverso una migliore convalida dei certificati.

CVE-2017-6988: Tim Cappalli di Aruba, azienda del gruppo Hewlett Packard Enterprise

Accessibility Framework

Disponibile per: macOS Sierra 10.12.4

Impatto: un'applicazione potrebbe essere in grado di acquisire privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-6978: Ian Beer di Google Project Zero

CoreAnimation

Disponibile per: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: l'elaborazione di dati dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di consumo della memoria è stato risolto attraverso una sua migliore gestione.

CVE-2017-2527: Ian Beer di Google Project Zero

CoreAudio

Disponibile per: macOS Sierra 10.12.4

Impatto: un'applicazione può essere in grado di leggere la memoria con limitazione.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2017-2502: Yangkang (@dnpushme) del team di Qihoo360 Qex

CoreFoundation

Disponibile per: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: l'analisi di dati pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-2522: Ian Beer di Google Project Zero

Voce aggiunta il 19 maggio 2017

CoreText

Disponibile per: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: l'elaborazione di un file di pericoloso può causare la chiusura dell'applicazione.

Descrizione: un'interruzione del servizio è stata risolta attraverso una migliore convalida.

CVE-2017-7003: Jake Davis di SPYSCAPE (@DoubleJake)

Voce aggiunta il 31 maggio 2017

DiskArbitration

Disponibile per: macOS Sierra 10.12.4 e OS X El Capitan 10.11.6

Impatto: un'applicazione potrebbe essere in grado di acquisire privilegi di sistema.

Descrizione: una race condition è stata risolta con ulteriori restrizioni del file system.

CVE-2017-2533: Samuel Groß e Niklas Baumstark in collaborazione con Zero Day Initiative di Trend Micro

Foundation

Disponibile per: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: l'analisi di dati pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-2523: Ian Beer di Google Project Zero

Voce aggiunta il 19 maggio 2017

HFS

Disponibile per: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può essere in grado di leggere la memoria con limitazione.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2017-6990: Chaitin Security Research Lab (@ChaitinTech) in collaborazione con Zero Day Initiative di Trend Micro

iBooks

Disponibile per: macOS Sierra 10.12.4

Impatto: un libro pericoloso potrebbe aprire siti web arbitrari senza l'autorizzazione dell'utente.

Descrizione: un problema di gestione dell'URL è stato risolto attraverso una migliore gestione dello stato.

CVE-2017-2497: Jun Kokatsu (@shhnjk)

iBooks

Disponibile per: macOS Sierra 10.12.4

Impatto: un'applicazione può eseguire codice arbitrario con privilegi root.

Descrizione: si verificava un problema all'interno della logica di convalida dei percorsi per i link simbolici. Il problema è stato risolto migliorando la sanitizzazione dei percorsi.

CVE-2017-6981: evi1m0 di YSRC (sec.ly.com)

iBooks

Disponibile per: macOS Sierra 10.12.4

Impatto: un'applicazione potrebbe essere in grado di uscire dalla relativa sandbox.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-6986: evi1m0 di YSRC (sec.ly.com) e Heige (SuperHei) del team di Knownsec 404 Security

Driver Intel Graphics

Disponibile per: macOS Sierra 10.12.4

Impatto: un'applicazione può essere in grado di acquisire privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-2503: sss e Axis di 360NirvanTeam

IOGraphics

Disponibile per: macOS Sierra 10.12.4

Impatto: un'applicazione può essere in grado di acquisire privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-2545: 360 Security (@mj0011sec) in collaborazione con Zero Day Initiative di Trend Micro

IOSurface

Disponibile per: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può essere in grado di acquisire privilegi kernel.

Descrizione: una race condition è stata risolta mediante un blocco migliore.

CVE-2017-6979: Adam Donenfeld (@doadam) del team di Zimperium zLabs

Voce aggiornata il 17 maggio 2017

Kernel

Disponibile per: macOS Sierra 10.12.4

Impatto: un'applicazione può essere in grado di acquisire privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-2494: Jann Horn di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.4

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta mediante un blocco migliore.

CVE-2017-2501: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.4

Impatto: un'applicazione può essere in grado di leggere la memoria con limitazione.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2017-2507: Ian Beer di Google Project Zero

CVE-2017-2509: Jann Horn di Google Project Zero

CVE-2017-6987: Patrick Wardle di Synack

Kernel

Disponibile per: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può essere in grado di leggere la memoria con limitazione.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2017-2516: Jann Horn di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può essere in grado di acquisire privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-2546: Chaitin Security Research Lab (@ChaitinTech) in collaborazione con Zero Day Initiative di Trend Micro

Multi-Touch

Disponibile per: macOS Sierra 10.12.4

Impatto: un'applicazione può essere in grado di acquisire privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-2542: 360 Security (@mj0011sec) in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-2543: 360 Security (@mj0011sec) in collaborazione con Zero Day Initiative di Trend Micro

NVIDIA Graphics Drivers

Disponibile per: macOS Sierra 10.12.4

Impatto: un'applicazione può essere in grado di acquisire privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-6985: Axis e sss di Nirvan Team di Qihoo 360 e Simon Huang (@HuangShaomang) di IceSword Lab di Qihoo 360

Sandbox

Disponibile per: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione potrebbe essere in grado di uscire dalla relativa sandbox.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-2512: Federico Bento della facoltà di Scienze dell'università di Porto

Sicurezza

Disponibile per: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione potrebbe essere in grado di uscire dalla relativa sandbox.

Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2535: Samuel Groß e Niklas Baumstark in collaborazione con Zero Day Initiative di Trend Micro

Speech Framework

Disponibile per: macOS Sierra 10.12.4

Impatto: un'applicazione potrebbe essere in grado di uscire dalla relativa sandbox.

Descrizione: un problema dell'accesso è stato risolto con ulteriori restrizioni della sandbox.

CVE-2017-2534: Samuel Groß e Niklas Baumstark in collaborazione con Zero Day Initiative di Trend Micro

Speech Framework

Disponibile per: macOS Sierra 10.12.4

Impatto: un'applicazione potrebbe essere in grado di uscire dalla relativa sandbox.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-6977: Samuel Groß e Niklas Baumstark in collaborazione con Zero Day Initiative di Trend Micro

SQLite

Disponibile per: macOS Sierra 10.12.4

Impatto: la visualizzazione di una richiesta di informazioni SQL dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2513: rilevato da OSS-Fuzz

SQLite

Disponibile per: macOS Sierra 10.12.4

Impatto: la visualizzazione di una richiesta di informazioni SQL dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2518: rilevato da OSS-Fuzz

CVE-2017-2520: rilevato da OSS-Fuzz

SQLite

Disponibile per: macOS Sierra 10.12.4

Impatto: la visualizzazione di una richiesta di informazioni SQL dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-2519: rilevato da OSS-Fuzz

SQLite

Disponibile per: macOS Sierra 10.12.4

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti con una migliore convalida dell'input.

CVE-2017-6983: Chaitin Security Research Lab (@ChaitinTech) in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-6991: Chaitin Security Research Lab (@ChaitinTech) in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-7000: Chaitin Security Research Lab (@ChaitinTech) in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-7001: Chaitin Security Research Lab (@ChaitinTech) in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-7002: Chaitin Security Research Lab (@ChaitinTech) in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiornata il 24 maggio 2017

TextInput

Disponibile per: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: l'analisi di dati pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-2524: Ian Beer di Google Project Zero

WindowServer

Disponibile per: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione potrebbe essere in grado di acquisire privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una sua migliore gestione.

CVE-2017-2537: Chaitin Security Research Lab (@ChaitinTech) in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-2541: Richard Zhu (fluorescence) in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-2548: Team Sniper (Keen Lab e PC Mgr) in collaborazione con Zero Day Initiative di Trend Micro

WindowServer

Disponibile per: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può essere in grado di leggere la memoria con limitazione.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2017-2540: Richard Zhu (fluorescence) in collaborazione con Zero Day Initiative di Trend Micro

Altri riconoscimenti

Kernel

Vorremmo ringraziare Jann Horn di Google Project Zero per l'assistenza.

CFNetwork

Vorremmo ringraziare Samuel Groß e Niklas Baumstark in collaborazione con Zero Day Initiative di Trend Micro per l'assistenza.

Sicurezza

Vorremmo ringraziare Ian Beer di Google Project Zero per l'assistenza.

macOS Sierra 10.12.5, l'aggiornamento della sicurezza 2017-002 per El Capitan e l'aggiornamento della sicurezza 2017-002 per Yosemite includono i contenuti di sicurezza di Safari 10.1.1.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: