Informazioni sull‘aggiornamento di sicurezza 2007-005

This article has been archived and is no longer updated by Apple.

Questo documento descrive l'aggiornamento di sicurezza 2007-005, che può essere scaricato e installato dalle preferenze di Aggiornamento software o tramite Apple Downloads.

Per tutelare gli utenti Apple non rivela, discute né conferma eventuali problemi legati alla sicurezza fino all'effettuazione dell'analisi completa e alla disponibilità di eventuali patch o release. Per ulteriori informazioni sulla sicurezza dei prodotti Apple visitare il sito web Sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple vedere "Utilizzo della chiave PGP di sicurezza per i prodotti Apple".

Ove possibile, per ulteriori informazioni vengono utilizzati gli ID CVE per i riferimenti ai punti vulnerabili.

Per informazioni su altri aggiornamenti per la sicurezza vedere "Aggiornamenti di sicurezza Apple".

Informazioni sull'aggiornamento di sicurezza 2007-005

  • Alias Manager

    CVE-ID: CVE-2007-0740

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Impatto: gli utenti potrebbero essere spinti ad aprire un file sostitutivo

    Descrizione: in alcuni casi, per un problema di implementazione Alias Manager non mostra i file con nomi identici contenuti in immagini del disco montati con nomi identici. Consentendo all'utente di montare due immagini disco con nomi identici, un malintenzionato potrebbe spingere l'utente ad aprire un programma pericoloso. Questo aggiornamento risolve il problema grazie all'esecuzione di ulteriori convalide dei percorsi di montaggio (mountpath). Ringraziamo Greg Bolsinga di Blurb, Inc. per aver riferito questo problema.

  • BIND

    CVE-ID: CVE-2007-0493, CVE-2007-0494, CVE-2006-4095, CVE-2006-4096

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Impatto: diversi punti di vulnerabilità in BIND, il più grave dei quali è rappresentato da un problema di DoS (Denial of Service)

    Descrizione: BIND viene aggiornato alla versione 9.3.4. Per ulteriori informazioni consultare il sito web ISC all'indirizzo http://www.isc.org/index.pl?/sw/bind/

  • CoreGraphics

    CVE-ID: CVE-2007-0750

    Disponibile per: Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Impatto: l'apertura di un file PDF pericoloso può causare il blocco inatteso delle applicazioni o l'esecuzione arbitraria dei codici

    Descrizione: si verifica un problema di vulnerabilità di integer overflow nel processo di gestione dei file PDF. Consentendo all'utente di aprire un file PDF pericoloso, un malintenzionato può attivare l'overflow con successiva chiusura dell'applicazione o esecuzione arbitraria dei codici. Questo aggiornamento risolve il problema con un'ulteriore convalida dei file PDF. Il problema non ha effetto sui sistemi precedenti Mac OS X v10.4.

  • crontabs

    CVE-ID: CVE-2007-0751

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Impatto: lo script di cleanup quotidiano della directory /tmp potrebbe causare un problema di DoS (Denial of Service)

    Descrizione: i filesystem montati nella directory /tmp potrebbero venire rimossi durante l'esecuzione del cleanup quotidiano, con conseguente generazione di un problema di DoS (Denial of Service). Il problema viene risolto aggiornando lo script di rimozione quotidiana per evitare che i comandi di ricerca giungano fino ai filesystem montati.

  • fetchmail

    CVE-ID: CVE-2007-1558

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Impatto: la password di fetchmail potrebbe essere divulgata

    Descrizione: fetchmail viene aggiornato alla versione 6.3.8 per risolvere un malfunzionamento crittografico che potrebbe comportare la divulgazione delle password. Per ulteriori informazioni visitare il sito web di fetchmail all'indirizzohttp://fetchmail.berlios.de/fetchmail-SA-2007-01.txt

  • file

    CVE-ID: CVE-2007-1536

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Impatto: l'esecuzione di un comando su un file pericoloso può causare il blocco inatteso delle applicazioni o l'esecuzione arbitraria di codici

    Descrizione: un problema di heap buffer overflow dello strumento della riga di comando file può causare il blocco inatteso delle applicazioni o l'esecuzione arbitraria di codici. Questo aggiornamento affronta il problema effettuando una convalida aggiuntiva dei file passati alla riga di comando.

  • iChat

    CVE-ID: CVE-2007-2390

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Impatto: un malintenzionato collegato alla rete locale può generare un DoS ("Denial of Service") locale o l'esecuzione arbitraria di codici

    Descrizione: è stato riscontrato un problema di buffer overflow nel codice UPnP IGD (Internet Gateway Device Standardized Device Control Protocol) utilizzato per creare la Mappatura porte nei gateway NAT home di iChat. Inviando un pacchetto dati pericoloso, un malintenzionato collegato alla rete locale può attivare l'overflow con successiva chiusura dell'applicazione o esecuzione arbitraria dei codici. Questo aggiornamento risolve il problema grazie all'esecuzione di ulteriori convalide durante l'elaborazione dei pacchetti del protocollo UPnP in iChat.

  • mDNSResponder

    CVE-ID: CVE-2007-2386

    Disponibile per: Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Impatto: un malintenzionato collegato alla rete locale può generare un DoS ("Denial of Service") locale o l'esecuzione arbitraria di codici

    Descrizione: è stato riscontrato un problema di buffer overflow nel codice UPnP IGD (Internet Gateway Device Standardized Device Control Protocol) utilizzato per creare la Mappatura porte nei gateway NAT home di iChat nell'implementazione di OS X mDNSResponder. Inviando un pacchetto dati pericoloso, un malintenzionato collegato alla rete locale può attivare l'overflow con successiva chiusura dell'applicazione o esecuzione arbitraria dei codici. Questo aggiornamento risolve il problema grazie all'esecuzione di ulteriori convalide durante l'elaborazione dei pacchetti del protocollo UPnP. Questo problema non riguarda i sistemi precedenti a Mac OS X v10.4. Ringraziamo Michael Lynn di Juniper Networks per aver riferito questo problema.

  • PPP

    CVE-ID: CVE-2007-0752

    Disponibile per: Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Impatto: un utente locale può ottenere privilegi di sistema

    Descrizione: è stato riscontrato un problema di implementazione nel daemon PPP durante il caricamento di plug-in tramite la riga di comando, che consente a un utente locale di ottenere privilegi di sistema. Questo aggiornamento risolve il problema grazie alla convalida dei privilegi utente. Il problema non riguarda i sistemi precedenti a Mac OS X v10.4. Ringraziamo un ricercatore anonimo che collabora con iDefense VCP per aver riferito questo malfunzionamento.

  • ruby

    CVE-ID: CVE-2006-5467, CVE-2006-6303

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Impatto: problemi di DoS (Denial of service) nella libreria Ruby CGI

    Descrizione: sono stati riscontrati diversi problemi di DoS (Denial of service) nella libreria Ruby CGI Inviando richieste HTTP pericolose a un'applicazione web tramite cgi.rb, un malintenzionato potrebbe attivare un attacco con conseguente DoS (Denial of service). Questo aggiornamento risolve i problemi con l'adozione di patch di Ruby.

  • screen

    CVE-ID: CVE-2006-4573

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Impatto: diversi problemi di DoS (Denial of service) in GNU Screen

    Descrizione: lo strumento della riga di comando a video viene aggiornato per ovviare a diversi problemi di DoS (Denial of service). Per ulteriori informazioni vedere il sito web GNU all'indirizzo http://lists.gnu.org/archive/html/screen-users/2006-10/msg00028.html

  • texinfo

    CVE-ID: CVE-2005-3011

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Impatto: un problema in texinfo può permettere la sovrascrittura di file arbitrari

    Descrizione: è stato riscontrato in texinfo un problema di gestione file che potrebbe consentire a un utente locale di creare o sovrascrivere file con i privilegi dell'utente che esegue texinfo. Questo aggiornamento risolve il problema con la gestione migliorata dei file temporanei.

  • VPN

    CVE-ID: CVE-2007-0753

    Disponibile per: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Impatto: un utente locale può ottenere privilegi di sistema

    Descrizione: è stato riscontrato in vpnd un problema relativo alla format string. Con l'esecuzione del comando vpnd con argomenti pericolosi, un utente locale può attivare tale vulnerabilità con conseguente esecuzione del codice arbitrario con privilegi di sistema. Questo aggiornamento risolve il problema grazie all'esecuzione di ulteriori convalide degli argomenti passati a vpnd. Ringraziamo Chris Anley di NGSSoftware per aver riferito questo problema.

Published Date: 10 ott 2016