Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Apple (9 luglio 2018)

apple  iCloud  iTunes  Safari   martedì, 10 luglio 2018

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, watchOS, tvOSSafari, iTunes per Windows e iCloud per Windows.

Apple iOS è un sistema operativo per iPhone, iPod touch e iPad. Apple watchOS è il sistema operativo per Apple Watch. Apple tvOS è il sistema operativo per Apple TV. Apple Safari è un browser Web disponibile per OS X, macOS e Microsoft Windows. iTunes è un’applicazione per la gestione di file multimediali. iCloud è il sistema SaaS di Apple basato sul cloud computing.

L’aggiornamento per macOS contiene diversi fix di sicurezza che risolvono numerose vulnerabilità, di cui alcune di gravità elevata, in OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13.5. Lo sfruttamento delle più gravi tra queste vulnerabilità potrebbe consentire ad un attaccante di accedere ad aree di memoria protette, ottenere privilegi elevati ed eseguire codice arbitrario sul sistema.

Dettagli delle vulnerabilità risolte in macOS (in Inglese):

  • AMD: a malicious application may be able to determine kernel memory layout (CVE-2018-4289).
  • APFS: an application may be able to execute arbitrary code with kernel privileges (CVE-2018-4268).
  • ATS: a malicious application may be able to gain root privileges (CVE-2018-4285).
  • CFNetwork: cookies may unexpectedly persist in Safari (CVE-2018-4293).
  • CoreCrypto: a malicious application may be able to break out of its sandbox (CVE-2018-4269).
  • DesktopServices: a local user may be able to view sensitive user information (CVE-2018-4178).
  • IOGraphics: a local user may be able to read kernel memory (CVE-2018-4283).
  • Kernel: Systems using Intel® Core-based microprocessors may potentially allow a local process to infer data utilizing Lazy FP state restore from another process through a speculative execution side channel (CVE-2018-3665).
  • libxpc: an application may be able to gain elevated privileges (CVE-2018-4280).
  • libxpc: a malicious application may be able to read restricted memory (CVE-2018-4248).
  • LinkPresentation: visiting a malicious website may lead to address bar spoofing (CVE-2018-4277).

L’aggiornamento per iOS contiene diversi fix di sicurezza che risolvono diverse gravi vulnerabilità che potrebbero consentire ad un attaccante di accedere ad aree di memoria protette, eseguire codice arbitrario sul sistema o provocare condizioni di denial of service.

Dettagli delle vulnerabilità risolte in iOS (in Inglese):

  • CFNetwork: cookies may unexpectedly persist in Safari (CVE-2018-4293).
  • Emoji: processing an emoji under certain configurations may lead to a denial of service (CVE-2018-4290).
  • Kernel: a local user may be able to read kernel memory (CVE-2018-4282).
  • libxpc: an application may be able to gain elevated privileges (CVE-2018-4280).
  • libxpc: a malicious application may be able to read restricted memory (CVE-2018-4248).
  • LinkPresentation: visiting a malicious website may lead to address bar spoofing (CVE-2018-4277).
  • WebKit: a malicious website may exfiltrate audio data cross-origin (CVE-2018-4278).
  • WebKit: a malicious website may be able to cause a denial of service (CVE-2018-4266).
  • WebKit: visiting a malicious website may lead to address bar spoofing (CVE-2018-4274).
  • WebKit: processing maliciously crafted web content may lead to an unexpected Safari crash (CVE-2018-4270).
  • WebKit: processing maliciously crafted web content may lead to arbitrary code execution (CVE-2018-4284).
  • WebKit: processing maliciously crafted web content may lead to arbitrary code execution (CVE-2018-4261, CVE-2018-4262, CVE-2018-4263, CVE-2018-4264, CVE-2018-4265, CVE-2018-4267, CVE-2018-4272).
  • WebKit: processing maliciously crafted web content may lead to an unexpected Safari crash (CVE-2018-4271, CVE-2018-4273).
  • WebKit Page Loading: visiting a malicious website may lead to address bar spoofing (CVE-2018-4260).
  • Wi-Fi: a malicious application may be able to break out of its sandbox (CVE-2018-4275).

Si raccomanda di scaricare ed applicare gli aggiornamenti di sicurezza messi a disposizione da Apple il più presto possibile.

Per maggiori informazioni sui prodotti vulnerabili e sugli aggiornamenti disponibili è possibile consultare i seguenti bollettini di sicurezza di Apple (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza per prodotti Apple (30 ottobre 2018)

31 ottobre 2018

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, watchOS, tvOS, Safari, iTunes per Windows e iCloud per Windows.Leggi tutto

Aggiornamento di sicurezza per Apple iOS 12

9 ottobre 2018

Apple ha rilasciato un aggiornamento di sicurezza per iOS che risolve due vulnerabilità che potrebbero consentire ad un attaccante locale di accedere ad informazioni potenzialmente sensibili.Leggi tutto

Apple risolve numerose vulnerabilità in macOS Mojave 10.14

25 settembre 2018

Apple ha rilasciato macOS Mojave 10.14. Questo aggiornamento contiene diversi fix di sicurezza che risolvono numerose vulnerabilità, di cui alcune di gravità elevata.Leggi tutto