Informazioni sull’aggiornamento di sicurezza 2006-003
Questo documento descrive l’aggiornamento di sicurezza 2006-003, che può essere scaricato e installato dalle preferenze di Aggiornamento Software o tramite Download di Apple.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo “Come usare la chiave PGP per la sicurezza dei prodotti Apple”.
Quando possibile, vengono utilizzati i CVE-ID per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta la sezione “Aggiornamenti di sicurezza Apple”.
Aggiornamento di sicurezza 2006-003
AppKit
CVE-ID: CVE-2006-1439
Disponibile per: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: i caratteri inseriti in un campo di testo protetto possono essere letti da altre applicazioni nella stessa sessione di finestra
Descrizione: in alcune circostanze, quando ci si sposta tra i campi di inserimento testuale, NSSecureTextField potrebbe non riuscire a riabilitare l'inserimento di un evento sicuro. In questo modo, altre applicazioni nella stessa sessione di finestra possono visualizzare alcuni caratteri di inserimento ed eventi della tastiera. Questo aggiornamento risolve il problema assicurando che l'inserimento dell'evento sicuro sia abilitato in maniera appropriata. Il problema non interessa i sistemi meno recenti di Mac OS X 10.4.
AppKit, ImageIO
CVE-ID: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984
Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: la visualizzazione di un'immagine GIF o TIFF pericolosa può portare all'esecuzione di codice arbitrario
Descrizione: la gestione di un'immagine GIF o TIFF malformata può portare all'esecuzione di codice arbitrario durante l'analisi di un'immagine pericolosa. Questo problema interessa le applicazioni che usano il framework ImageIO (Mac OS X 10.4 Tiger) o AppKit (Mac OS X 10.3 Panther) per leggere le immagini. Questo aggiornamento risolve il problema eseguendo un’ulteriore convalida delle immagini GIF e TIFF.
BOM
CVE-ID: CVE-2006-1985
Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: l'espansione di un archivio può portare all'esecuzione di codice arbitrario
Descrizione: creando un archivio (come un archivio Zip) che contiene nomi di percorso lunghi, un utente malintenzionato può attivare un overflow del buffer della memoria heap in BOM. Ciò può portare all’esecuzione di codice arbitrario. BOM viene utilizzato per gestire gli archivi nel Finder e in altre applicazioni. Questo aggiornamento risolve il problema gestendo in maniera appropriata le condizioni di limite.
BOM
CVE-ID: CVE-2006-1440
Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: l'espansione di un archivio dannoso può causare la creazione o la sovrascrittura di file arbitrari
Descrizione: un problema nella gestione dei link simbolici di tipo directory traversal negli archivi può far sì che BOM crei o sovrascriva file in posizioni arbitrarie accessibili all'utente mediante l'espansione dell'archivio. BOM gestisce gli archivi per conto del Finder e di altre applicazioni. Questo aggiornamento risolve il problema assicurando che i file espansi da un archivio non siano posizionati al di fuori della directory di destinazione.
CFNetwork
CVE-ID: CVE-2006-1441
Disponibile per: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: l'apertura di siti web pericolosi può portare all'esecuzione di codice arbitrario
Descrizione: un overflow di numeri interi nella gestione della codifica del trasferimento bloccato potrebbe portare all'esecuzione di codice arbitrario. CFNetwork è usato da Safari e altre applicazioni. Questo aggiornamento risolve il problema eseguendo un'ulteriore convalida. Il problema non interessa i sistemi meno recenti di Mac OS X 10.4.
ClamAV
CVE-ID: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630
Disponibile per: Mac OS X Server 10.4.6
Impatto: l'elaborazione di messaggi e-mail pericolosi con ClamAV può portare all'esecuzione di codice arbitrario
Descrizione: il software di scansione virus ClamAV è stato aggiornato per integrare aggiornamenti di sicurezza nella versione più recente. ClamAV è stato introdotto in Mac OS X Server 10.4 per la scansione delle e-mail. Il problema più grave può portare all'esecuzione di codice arbitrario con i privilegi di ClamAV. Per maggiori informazioni, consulta il sito web del progetto all'indirizzo http://www.clamav.net.
CoreFoundation
CVE-ID: CVE-2006-1442
Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: la registrazione di un pacchetto inattendibile può portare all'esecuzione di codice arbitrario
Descrizione: in alcune circostanze, i pacchetti sono implicitamente registrati dalle applicazioni o dal sistema. Una funzione dell'API del pacchetto consente il caricamento e l'esecuzione delle librerie dinamiche quando un pacchetto viene registrato, anche se l'applicazione del cliente non lo richiede espressamente. Di conseguenza, è possibile che un codice arbitrario sia eseguito da un pacchetto inattendibile senza l'interazione esplicita dell'utente. Questo aggiornamento risolve il problema caricando ed eseguendo le librerie dal pacchetto solo al momento giusto.
CoreFoundation
CVE-ID: CVE-2006-1443
Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: le conversioni delle stringhe nella rappresentazione del file system può portare all'esecuzione di codice arbitrario
Descrizione: un overflow di numeri interi durante l'elaborazione di una condizione di limite in CFStringGetFileSystemRepresentation può portare all'esecuzione di codice arbitrario. Applicazioni che usano questa API o una delle API correlate come getFileSystemRepresentation:maxLength:withPath: di NSFileManager possono attivare il problema e portare all'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema gestendo in maniera appropriata le condizioni di limite.
CoreGraphics
CVE-ID: CVE-2006-1444
Disponibile per: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: i caratteri inseriti in un campo di testo protetto possono essere letti da altre applicazioni nella stessa sessione di finestra
Descrizione: Quartz Event Services fornisce applicazioni in grado di osservare e modificare eventi di input dell'utente di basso livello. In genere, le applicazioni non sono in grado di intercettare gli eventi quando l'input di eventi sicuro è abilitato. Tuttavia, se l'accesso per i dispositivi assistivi è abilitato, Quartz Event Services può essere usato per intercettare gli eventi anche quando l'input di eventi sicuro è abilitato. Questo aggiornamento risolve il problema filtrando gli eventi quando l'input di eventi sicuro è abilitato. Questo problema non interessa i sistemi precedenti a Mac OS X 10.4. Ringraziamo Damien Bobillot per aver segnalato il problema.
Finder
CVE-ID: CVE-2006-1448
Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: il lancio di un elemento Internet Location può portare all'esecuzione di codice arbitrario
Descrizione: gli elementi Internet Location sono semplici contenitori di URL che possono fare riferimento a URL http://, ftp:// e file://, nonché ad alcuni altri schemi di URL. Questi diversi tipi di elementi Internet Location sono visivamente distinti e ciò indica che è sicuro lanciarli esplicitamente. Tuttavia, lo schema dell'URL può essere diverso rispetto al tipo di Internet Location. Di conseguenza, un utente malintenzionato può riuscire a convincere un utente a lanciare un elemento apparentemente innocuo (come un Web Internet Location, http://), con il risultato che viene utilizzato un altro schema URL. In alcune circostanze, ciò può portare all'esecuzione di codice arbitrario. Questo aggiornamento risolve i problemi restringendo lo schema URL sulla base del tipo di Internet Location.
FTPServer
CVE-ID: CVE-2006-1445
Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: le operazioni FTP eseguite da utenti FTP autenticati possono portare all'esecuzione di codice arbitrario
Descrizione: diversi problemi nella gestione del nome del percorso del server FTP possono portare a un overflow del buffer. Un utente autenticato malintenzionato può riuscire ad attivare questo overflow che può portare all'esecuzione di codice arbitrario con i privilegi del server FTP. Questo aggiornamento risolve il problema gestendo in maniera appropriata le condizioni limite.
Flash Player
CVE-ID: CVE-2005-2628, CVE-2006-0024
Disponbile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: la riproduzione di contenuti Flash può portare all'esecuzione di codice arbitrario
Descrizione: Adobe Flash Player contiene vulnerabilità critiche che possono portare all'esecuzione di codice arbitrario quando vengono caricati file appositamente creati. Ulteriori informazioni sono disponibili sul sito web di Adobe all’indirizzo http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. Questo aggiornamento risolve il problema integrando la versione 8.0.24.0 di Flash Player.
ImageIO
CVE-ID: CVE-2006-1552
Disponibile per: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: la visualizzazione di un'immagine JPEG pericolosa può portare all'esecuzione di codice arbitrario
Descrizione: un overflow di numeri interi nell'elaborazione di metadati JPEG può causare un overflow del buffer della memoria heap. Creando un'immagine con metadati JPEG non corretti, un utente malintenzionato può riuscire a causare l'esecuzione di codice arbitrario quando l'immagine viene visualizzata. Questo aggiornamento risolve il problema grazie all’esecuzione di un’ulteriore convalida delle immagini. Questo problema non interessa i sistemi precedenti a Mac OS X 10.4. Ringraziamo Brent Simmons di NewsGator Technologies, Inc. per aver segnalato il problema.
Keychain
CVE-ID: CVE-2006-1446
Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: un'applicazione può riuscire a usare elementi del portachiavi quando il portachiavi è bloccato
Descrizione: quando un portachiavi è bloccato, non è possibile per le applicazioni accedere agli elementi del portachiavi che contiene senza prima richiedere lo sblocco del portachiavi. Tuttavia, un'applicazione che ha ottenuto un riferimento a un elemento del portachiavi prima che il portachiavi fosse bloccato può, in alcune circostanze, riuscire a continuare a usare quell'elemento del portachiavi a prescindere se il portachiavi è bloccato o sbloccato. Questo aggiornamento risolve il problema rigettando le richieste di usare gli elementi del portachiavi quando il portachiavi è bloccato. Ringraziamo Tobias Hahn di HU Berlin per aver segnalato il problema.
LaunchServices
CVE-ID: CVE-2006-1447
Disponibile per: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: l'apertura di un sito web pericoloso può portare all'esecuzione di codice arbitrario
Descrizione: le estensioni di nomi file lunghi possono impedire alla convalida dei download di determinare correttamente l'applicazione con cui è possibile aprire un elemento. Di conseguenza, un utente malintenzionato può riuscire ad aggirare la convalida dei download e far sì che Safari apre automaticamente contenuti non sicuri se l'opzione “Apri file sicuri dopo il download” è abilitata e determinate applicazioni non sono installate. Questo aggiornamento risolve il problema migliorando il controllo dell'estensione del nome file. Il problema non interessa i sistemi meno recenti di Mac OS X 10.4.
libcurl
CVE-ID: CVE-2005-4077
Disponibile per: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: la gestione degli URL in libcurl può portare all'esecuzione di codice arbitrario
Descrizione: la libreria HTTP open source libcurl contiene overflow del buffer nella gestione degli URL. Applicazioni che usano curl per la gestione degli URL possono attivare il problema e portare all'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema integrando la versione 7.15.1 di libcurl. Questo problema non riguarda i sistemi precedenti a Mac OS X 10.4.
Mail
CVE-ID: CVE-2006-1449
Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: la visualizzazione di un messaggio e-mail pericoloso può portare all'esecuzione di codice arbitrario
Descrizione: preparando un messaggio e-mail pericoloso con allegati incapsulati MacMIME, un utente pericoloso può attivare un overflow dei numeri interi. Ciò può portare all'esecuzione di codice arbitrario con i privilegi dell'utente che esegue Mail. Questo aggiornamento corregge il problema eseguendo un'ulteriore convalida dei messaggi.
Mail
CVE-ID: CVE-2006-1450
Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: la visualizzazione di un messaggio e-mail pericoloso può portare all'esecuzione di codice arbitrario
Descrizione: la gestione di informazioni sui colori non valide nei messaggi e-mail con testo formattato può causare l'assegnazione e l'inizializzazione di classi arbitrarie. Ciò può portare all'esecuzione di codice arbitrario con i privilegi dell'utente che esegue Mail. Questo aggiornamento risolve il problema gestendo in maniera appropriata i dati di testo formattato non corretti.
MySQL Manager
CVE-ID: CVE-2006-1451
Disponible per: Mac OS X Server 10.4.6
Impatto: è possibile accedere al database MySQL con una password vuota
Descrizione: durante la configurazione iniziale di un server database MySQL usando MySQL, potrebbe essere fornita la “Nuova password root MySQL”. Tuttavia, questa password, in realtà, non viene utilizzata. Di conseguenza, la password root MySQL rimarrà vuota. Un utente locale può quindi ottenere l'accesso al database MySQL con pieni privilegi. Questo aggiornamento risolve il problema garantendo che la password inserita sia salvata. Questo problema non interessa i sistemi precedenti a Mac OS X 10.4. Ringraziamo Ben Low della University of New South Wales per aver segnalato il problema.
Preview
CVE-ID: CVE-2006-1452
Disponibile per: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: navigare in una gerarchia della directory pericolosa può causare l'esecuzione di codice arbitrario
Descrizione: quando si naviga in gerarchie della directory molto profonde in Anteprima, può essere attivato un overflow del buffet dello stack. Creando tale gerarchia della directory, un utente malintenzionato può causare l'esecuzione di codice arbitrario se le directory sono aperte in Anteprima. Il problema non interessa i sistemi meno recenti di Mac OS X 10.4.
QuickDraw
CVE-ID: CVE-2006-1453, CVE-2006-1454
Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: la visualizzazione di un'immagine PICT pericolosa può causare l'esecuzione di codice arbitrario
Descrizione: due problemi interessano QuickDraw quando si elaborano immagini PICT. Informazioni sul font non corrette possono causare un overflow del buffer dello stack e dati immagine non corretti possono causare un overflow del buffer della memoria heap. Creando un'immagine PICT pericolosa, un utente malintenzionato può riuscire a causare l'esecuzione del codice arbitrario quando l'immagine viene visualizzata. Questo aggiornamento risolve il problema eseguendo un’ulteriore convalida delle immagini PICT. Ringraziamo Mike Price di McAfee AVERT Labs per aver segnalato il problema.
QuickTime Streaming Server
CVE-ID: CVE-2006-1455
Disponibile per: Mac OS X Server 10.3.9, Mac OS X Server 10.4.6
Impatto: un video QuickTime non corretto può causare la chiusura del QuickTime Streaming Server
Descrizione: un video QuickTime con una traccia mancante può causare una dereferenziazione del puntatore null che causa la chiusura del processo del server. Ciò causa l'interruzione delle connessioni al client attivo. Tuttavia, il server viene riavviato automaticamente. Questo aggiornamento risolve il problema generando un errore quando vengono individuati video non corretti.
QuickTime Streaming Server
CVE-ID: CVE-2006-1456
Disponibile per: Mac OS X Server 10.3.9, Mac OS X Server 10.4.6
Impatto: richieste RTSP pericolose possono causare chiusure o l'esecuzione di codice arbitrario
Descrizione; creando una richiesta RTSP, un utente malintenzionato può riuscire ad attivare un overflow del buffer durante l'accesso ai messaggi. Ciò può causare l'esecuzione di codice arbitrario con i privilegi del QuickTime Streaming Server. Questo aggiornamento risolve il problema gestendo in maniera appropriata le condizioni di limite. Ringraziamo il team di ricerca di Mu Security research per aver segnalato il problema.
Ruby
CVE-ID: CVE-2005-2337
Disponibile per: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: le limitazioni del livello di sicurezza di Ruby possono essere aggirate
Descrizione: il linguaggio di scripting di Ruby contiene un meccanismo chiamato “livelli di sicurezza” che viene usato per limitare determinate operazioni. Questo meccanismo è usato soprattutto quando si eseguono applicazioni Ruby con privilegi o applicazioni di rete Ruby. In alcune circostanze, un utente malintenzionato può riuscire ad aggirare le limitazioni in tali applicazioni. Le applicazioni che non si affidano ai livelli di sicurezza non sono interessate. Questo aggiornamento risolve il problema garantendo che i livelli di sicurezza non possano essere aggirati.
Safari
CVE-ID: CVE-2006-1457
Disponibile per: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impatto: l'apertura di siti web pericolosi può causare la manipolazione del file o l'esecuzione di codice arbitrario
Descrizione: se l'opzione “Apri file sicuri dopo il download” di Safari è abilitata, gli archivi verranno espansi automaticamente. Se l'archivio contiene un link simbolico, il symlink di destinazione può essere spostato sul desktop dell'utente e avviato. Questo aggiornamento risolve il problema non risolvendo i link simbolici scaricati. Il problema non interessa i sistemi meno recenti di Mac OS X 10.4.