Informazioni su Security Update 2006-003

Questo documento descrive Security Update 2006-003, che può essere scaricato e installato visitando la sezione preferenze di Aggiornamento Software oppure Download Apple.

Per proteggere i propri clienti, Apple non divulga, discute o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni sulla sicurezza dei prodotti Apple, consulta il sito Web Aggiornamenti di sicurezza Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo "Come utilizzare la chiave PGP per la sicurezza dei prodotti Apple".

Ove possibile, vengono utilizzati gli ID CVE per ulteriori informazioni relative alle vulnerabilità.

Per ulteriori informazioni sugli aggiornamenti relativi alla sicurezza, consulta l'articolo "Aggiornamenti di sicurezza Apple".

Security Update 2006-003

  • AppKit

    CVE-ID: CVE-2006-1439

    Disponibile per: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: i caratteri immessi in un campo testo sicuro possono essere letti da altre applicazioni utilizzate nella stessa sessione

    Descrizione: in base al verificarsi o meno di alcune circostanze durante lo spostamento tra i campi di immissione del testo, NSSecureTextField potrebbe non riuscire a riattivare la funzione di digitazione protetta. In questo modo altre applicazioni attive nella stessa sessione possono leggere i caratteri digitati e le altre operazioni della tastiera. Questo aggiornamento risolve il problema garantendo l'attivazione della funzione di digitazione protetta. Il problema non interessa i sistemi anteriori a Mac OS X alla versione 10.4.

  • AppKit, ImageIO

    CVE-ID: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: la visualizzazione di un'immagine GIF o TIFF pericolosa può causare l'esecuzione di codice arbitrario

    Descrizione: la gestione di immagini GIF o TIFF non conformi può causare l'esecuzione di codice arbitrario durante l'analisi di un'immagine pericolosa. Questo problema si riferisce alle applicazioni che utilizzano il framework ImageIO (Mac OS X v10.4 Tiger) o AppKit (Mac OS X v10.3 Panther) per la lettura delle immagini. Questo aggiornamento risolve il problema introducendo un'ulteriore convalida delle immagini GIF e TIFF.

  • BOM

    CVE-ID: CVE-2006-1985

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: l'espansione di un archivio può causare l'esecuzione di codice arbitrario

    Descrizione: un malintenzionato potrebbe attivare un overflow del buffer di heap in BOM realizzando un archivio (ad es. di tipo Zip). Ciò può causare l'esecuzione di codice arbitrario. Il BOM è utilizzato per gestire gli archivi in Finder e altre applicazioni. Questo aggiornamento risolve il problema gestendo le condizioni agli estremi in modo corretto.

  • BOM

    CVE-ID: CVE-2006-1440

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: l'espansione di un archivio pericoloso può causare la creazione o la sovrascrittura di documenti arbitrari

    Descrizione: un problema con la gestione dei collegamenti simbolici trasversali per directory, rilevati in determinati archivi, può causare la creazione o la sovrascrittura di archivi in posizioni arbitrarie accessibili all'utente che espande l'archivio da parte del BOM. Il BOM gestisce gli archivi per conto del Finder e di altre applicazioni. Questo aggiornamento risolve il problema garantendo che i documenti espansi da un archivio non siano posizionati al di fuori della directory di destinazione.

  • CFNetwork

    CVE-ID: CVE-2006-1441

    Disponibile per: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: l'apertura di siti Web pericolosi può causare l'esecuzione di codice arbitrario

    Descrizione: un integer overflow nella gestione della codifica di trasferimento chunked può causare l'esecuzione di codice arbitrario. CFNetwork è utilizzato da Safari e da altre applicazioni. Questo aggiornamento risolve il problema introducendo un'ulteriore convalida. Il problema non interessa i sistemi anteriori a Mac OS X v10.4.

  • ClamAV

    CVE-ID: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630

    Disponibile per: Mac OS X Server v10.4.6

    Impatto: l'elaborazione di messaggi e-mail pericolosi con ClamAV può causare l'esecuzione di codice arbitrario

    Descrizione: il software antivirus ClamAV è stato aggiornato per integrare correzioni di sicurezza. ClamAV è stato introdotto in Mac OS X Server v10.4 per l'analisi delle e-mail. Il problema più grave può causare l'esecuzione di codice arbitrario con i privilegi di ClamAV. Per ulteriori informazioni, consulta il sito Web alla pagina http://www.clamav.net/lang-pref/it/.

  • CoreFoundation

    CVE-ID: CVE-2006-1442

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: la registrazione di un bundle non sicuro può causare l'esecuzione di codice arbitrario

    Descrizione: in base al verificarsi o meno di alcune circostanze, i bundle vengono registrati in modo implicito dalle applicazioni o dal sistema. Una caratteristica del bundle API consente il caricamento e l'esecuzione delle librerie dinamiche quando un bundle viene registrato, anche se l'applicazione client non lo richiede. Di conseguenza, potrebbe essere eseguito codice arbitrario da un bundle non sicuro senza l'interazione esplicita dell'utente. L'aggiornamento risolve il problema caricando ed eseguendo le librerie dal bundle nel momento corretto.

  • CoreFoundation

    CVE-ID: CVE-2006-1443

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: la conversione di stringhe in file system representation può causare l'esecuzione di codice arbitrario

    Descrizione: un integer underflow durante l'elaborazione di una condizione agli estremi in CFStringGetFileSystemRepresentation può causare l'esecuzione di codice arbitrario. Le applicazioni che utilizzano questo API o uno degli altri API, come NSFileManager's getFileSystemRepresentation:maxLength:withPath:, possono provocare il problema e causare l'esecuzione di codice arbitrario. L'aggiornamento risolve il problema gestendo le condizioni agli estremi in modo corretto.

  • CoreGraphics

    CVE-ID: CVE-2006-1444

    Disponibile per: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: i caratteri immessi in un campo testo sicuro possono essere letti da altre applicazioni utilizzate nella stessa sessione

    Descrizione: Quartz Event Services fornisce applicazioni in grado di osservare e alterare le operazioni della tastiera di basso livello effettuate dall'utente. Solitamente le applicazioni non possono intercettare le operazioni se la funzione di digitazione protetta è abilitata. In ogni caso, se "Abilita l'accesso a dispositivi d'assistenza" è attivo, Quartz Event Services può essere utilizzato per intercettare gli eventi, anche se la digitazione protetta è abilitata. L'aggiornamento risolve il problema filtrando le operazioni quando la digitazione protetta è abilitata. Il problema non interessa i sistemi anteriori a Mac OS X v10.4. Ringraziamo Damien Bobillot per aver segnalato questo problema.

  • Finder

    CVE-ID: CVE-2006-1448

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: l'avvio di un elemento da un indirizzo Internet può causare l'esecuzione di codice arbitrario

    Descrizione: gli elementi posti negli indirizzi Internet sono semplici "contenitori" di URL con schemi http://, ftp://, file:// o altri ancora. Questi diversi tipi di indirizzi Internet sono distinguibili visivamente e possono essere avviati in modo sicuro. In ogni caso, lo schema dell'URL può essere diverso dal tipo di indirizzo Internet. Di conseguenza, un malintenzionato può essere in grado di convincere un utente ad avviare un elemento in apparenza innocuo (ad es. un indirizzo Web Internet, http://) consentendo ad altri schemi URL di essere utilizzati. In alcuni casi, ciò può causare l'esecuzione di codice arbitrario. L'aggiornamento risolve il problema limitando lo schema URL in base al tipo di indirizzo Internet.

  • FTPServer

    CVE-ID: CVE-2006-1445

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: le operazioni FTP eseguite da utenti autenticati FTP possono causare l'esecuzione di codice arbitrario

    Descrizione: diversi problemi nella gestione del nome del percorso per il server FTP possono causare un overflow del buffer. Un malintenzionato può essere in grado di attivare questo overflow e causare l'esecuzione di codice arbitrario con i privilegi del server FTP. L'aggiornamento risolve il problema gestendo le condizioni agli estremi in modo corretto.

  • Flash Player

    CVE-ID: CVE-2005-2628, CVE-2006-0024

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: la riproduzione di contenuti Flash può causare l'esecuzione di codice arbitrario

    Descrizione: in Adobe Flash Player sono presenti diverse vulnerabilità di importanza critica che possono causare l'esecuzione di codice arbitrario se vengono caricati archivi pericolosi. Ulteriori informazioni sono disponibili sul sito Web di Adobe all'indirizzo http://www.adobe.com/it/devnet/security/security_zone/apsb06-03.html. L'aggiornamento risolve il problema incorporando la versione 8.0.24.0 di Flash Player.

  • ImageIO

    CVE-ID: CVE-2006-1552

    Disponibile per: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: la visualizzazione di un'immagine JPEG pericolosa può causare l'esecuzione di codice arbitrario

    Descrizione: un integer overflow nell'elaborazione di metadati JPEG può causare un overflow del buffer di heap. Un malintenzionato potrebbe creare un'immagine pericolosa con un metadato JPEG non conforme causando l'esecuzione di codice arbitrario quando l'immagine viene visualizzata. Questo aggiornamento risolve il problema grazie all'esecuzione di ulteriori convalide per le immagini Il problema non interessa i sistemi anteriori a Mac OS X v10.4. Ringraziamo Brent Simmons di NewsGator Technologies, Inc. per aver segnalato questo problema.

  • Portachiavi

    CVE-ID: CVE-2006-1446

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: un'applicazione potrebbe essere in grado di utilizzare gli elementi del Portachiavi anche se questo è bloccato

    Descrizione: se il Portachiavi è bloccato, le applicazioni non possono accedere agli elementi in esso contenuti senza prima richiederne lo sblocco. Tuttavia, in alcuni casi, un'applicazione che ha ottenuto un riferimento a un elemento del Portachiavi prima che questo venga bloccato potrebbe essere in grado di continuare a utilizzare l'elemento anche se il Portachiavi è bloccato. L'aggiornamento risolve il problema negando l'accesso all'elemento del Portachiavi se questo è bloccato. Ringraziamo Tobias Hahn di HU Berlin per aver segnalato questo problema.

  • LaunchServices

    CVE-ID: CVE-2006-1447

    Disponibile per: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: la visualizzazione di un sito Web pericoloso può causare l'esecuzione di codice arbitrario

    Descrizione: le estensioni Long file name possono impedire alla funzionalità di convalida dei download di stabilire l'applicazione da utilizzare per aprire un elemento. Di conseguenza, un malintenzionato potrebbe essere in grado di ignorare la convalida dei download e causare l'apertura di contenuti pericolosi da parte di Safari se l'opzione "Apri doc. 'sicuri' dopo il download" è abilitata e alcune applicazioni non sono installate. L'aggiornamento risolve il problema migliorando il controllo delle estensioni. Il problema non interessa i sistemi anteriori a Mac OS X v10.4.

  • libcurl

    CVE-ID: CVE-2005-4077

    Disponibile per: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: la gestione degli URL in libcurl può causare l'esecuzione di codice arbitrario

    Descrizione: libcurl, la libreria HTTP open source, contiene overflow del buffer nella gestione degli URL. Le applicazioni che utilizzano curl per la gestione degli URL potrebbero causare il problema e causare l'esecuzione di codice arbitrario. L'aggiornamento risolve il problema incorporando la versione 7.15.1 di libcurl. Il problema non interessa i sistemi anteriori a Mac OS X v10.4.

  • Mail

    CVE-ID: CVE-2006-1449

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: la visualizzazione di un messaggio e-mail pericoloso può causare l'esecuzione di codice arbitrario

    Descrizione: un malintenzionato può causare un integer overflow creando un messaggio e-mail pericoloso con allegati contenenti . MacMIME. Ciò può causare l'esecuzione di codice arbitrario con i privilegi dell'utente se si utilizza Mail. L'aggiornamento risolve il problema eseguendo una convalida aggiuntiva dei messaggi.

  • Mail

    CVE-ID: CVE-2006-1450

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: la visualizzazione di un messaggio e-mail pericoloso può causare l'esecuzione di codice arbitrario

    Descrizione: la gestione di informazioni di colore non valide nei messaggi e-mail in formato RFC (Enriched text) possono causare l'allocazione e l'inizializzazione di classi arbitrarie. Ciò può causare l'esecuzione di codice arbitrario con i privilegi dell'utente se si utilizza Mail. L'aggiornamento risolve il problema gestendo in modo corretto i dati RFC non corretti.

  • MySQL Manager

    CVE-ID: CVE-2006-1451

    Disponibile per: Mac OS X Server v10.4.6

    Impatto: il database di MySQL potrebbe essere accessibile utilizzando una password vuota

    Descrizione: durante l'installazione iniziale di un server database MySQL utilizzando MySQL Manager, potrebbe venire richiesto di creare una nuova password di root. Può succedere di ricevere questa richiesta anche se al momento non è utilizzata alcuna password di root. Di conseguenza, la password di root MySQL rimane vuota. Un utente locale può pertanto accedere al database MySQL con i privilegi. L'aggiornamento risolve il problema garantendo che la password inserita sia salvata. Il problema non interessa i sistemi anteriori a Mac OS X Server v10.4. Ringraziamo Ben Low della University of New South Wales per aver segnalato questo problema.

  • Anteprima

    CVE-ID: CVE-2006-1452

    Disponibile per: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: l'accesso a una gerarchia delle directory pericolosa può causare l'esecuzione di codice arbitrario

    Descrizione: navigando in modo approfondito in una gerarchia di directory in Anteprima, potrebbe attivarsi un overflow del buffer di stack. Un malintenzionato può creare una gerarchia di directory pericolosa causando l'esecuzione di codice arbitrario se le directory sono aperte in Anteprima. Il problema non interessa i sistemi anteriori a Mac OS X v10.4.

  • QuickDraw

    CVE-ID: CVE-2006-1453, CVE-2006-1454

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: la visualizzazione di un'immagine PICT pericolosa può causare l'esecuzione di codice arbitrario

    Descrizione: QuickDraw presenta due problemi durante l'elaborazione delle immagini PICT. Informazioni non corrette sui font possono causare un overflow del buffer di stack, mentre un dato immagine non corretto può causare un overflow del buffer di heap. Un malintenzionato può creare un'immagine PICT pericolosa causando l'esecuzione di codice arbitrario quando l'immagine viene visualizzata. Questo aggiornamento risolve il problema grazie all'esecuzione di ulteriori convalide per le immagini PICT. Ringraziamo Mike Price dei laboratori McAfee AVERT per aver riportato questo problema.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1455

    Disponibile per: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Impatto: un filmato non corretto di QuickTime può causare il crash del QuickTime Streaming Server

    Descrizione: un filmato di QuickTime con una traccia mancante può causare un deferenziamento a un puntatore nullo causando il crash del server. Ciò causa l'interruzione delle connessioni dei client attivi. Il server viene tuttavia riavviato automaticamente. L'aggiornamento risolve il problema creando un errore quando vengono incontrati filmati non corretti.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1456

    Disponibile per: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Impatto: richieste RTSP pericolose possono causare crash o esecuzione di codice arbitrario

    Descrizione: un malintenzionato può creare una richiesta RTSP pericolosa in grado di causare un overflow del buffer durante l'accesso al messaggio. Ciò può causare l'esecuzione di codice arbitrario con i privilegi del QuickTime Streaming Server. L'aggiornamento risolve il problema gestendo le condizioni agli estremi in modo corretto. Ringraziamo il Mu Security research team per aver segnalato questo problema.

  • Ruby

    CVE-ID: CVE-2005-2337

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: le restrizioni di sicurezza di Ruby potrebbero essere ignorate

    Descrizione: il linguaggio di scripting Ruby contiene un meccanismo chiamato "livelli di sicurezza" utilizzato per limitare l'esecuzione di determinate operazioni. Questo meccanismo viene di solito utilizzato per eseguire applicazioni che utilizzano Ruby o applicazioni network basate in Ruby. In alcuni casi, un malintenzionato può essere in grado di ignorare le restrizioni di tali applicazioni. Il problema non riguarda le applicazioni che non utilizzano il meccanismo "livelli di sicurezza". L'aggiornamento risolve il problema facendo in modo che "livelli di sicurezza" non possa essere ignorato.

  • Safari

    CVE-ID: CVE-2006-1457

    Disponibile per: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impatto: l'apertura di siti Web pericolosi può causare la manipolazione di archivi o l'esecuzione di codice arbitrario

    Descrizione: se l'opzione "Apri doc. 'sicuri' dopo il download" è abilitata, gli archivi verranno espansi automaticamente. Se l'archivio contiene un collegamento simbolico, il symlink di destinazione può essere spostato nella scrivania dell'utente ed essere avviato. L'aggiornamento risolve il problema impedendo l'analisi dei collegamenti simbolici scaricati. Il problema non interessa i sistemi anteriori a Mac OS X v10.4.

Data di pubblicazione: