Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Apple (5 dicembre 2018)

apple  iCloud  iTunes  Safari   giovedì, 6 dicembre 2018

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, tvOS, Safari, iTunes per Windows, iCloud per Windows e Shortcuts per iOS.

Apple macOS è un sistema operativo per i computer Mac. Apple iOS è un sistema operativo per iPhone, iPod touch e iPad. Apple tvOS è il sistema operativo per Apple TV. Apple Safari è un browser Web disponibile per macOS e Microsoft Windows. iTunes è un’applicazione per la gestione di file multimediali. iCloud è il sistema SaaS di Apple basato sul cloud computing. Shortcuts (Comandi, in Italiano) è un’app che interagisce con Siri per creare comandi vocali personalizzati per le app.

L’aggiornamento per macOS contiene diversi fix di sicurezza che risolvono numerose vulnerabilità, di cui alcune di gravità elevata, in macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.1. Lo sfruttamento delle più gravi tra queste vulnerabilità potrebbe consentire ad un attaccante di accedere ad aree di memoria protette, ottenere privilegi elevati, eseguire codice arbitrario sul sistema o provocare condizioni di denial of service.

Dettagli delle vulnerabilità risolte in macOS (in Inglese):

  • Airport: a type confusion issue may allow a malicious application to elevate privileges (CVE-2018-4303).
  • AMD: a validation issue may allow an application to read restricted memory (CVE-2018-4462).
  • Carbon Core: a memory corruption issue may allow an application to execute arbitrary code with system privileges (CVE-2018-4463).
  • Disk Images: a memory corruption issue may allow an application to execute arbitrary code with kernel privileges (CVE-2018-4465).
  • Intel Graphics Driver: an out-of-bounds read may allow a local user to cause unexpected system termination or read kernel memory (CVE-2018-4434).
  • IOHIDFamily: a memory corruption issue may allow an application to execute arbitrary code with kernel privileges (CVE-2018-4427).
  • Kernel: an attacker in a privileged position may be able to perform a denial of service attack (CVE-2018-4460).
  • Kernel: a memory initialization issue may allow a local user to read kernel memory (CVE-2018-4431).
  • Kernel: a memory corruption issue may allow an application to execute arbitrary code with kernel privileges (CVE-2018-4447).
  • Kernel: a logic issue may allow a malicious application to elevate privileges (CVE-2018-4435).
  • Kernel: a memory corruption issue may allow an application to execute arbitrary code with kernel privileges (CVE-2018-4461).
  • WindowServer: a memory corruption issue may allow an application to execute arbitrary code with system privileges (CVE-2018-4449, CVE-2018-4450).

L’aggiornamento per iOS, disponibile per iPhone 5s e successivo, iPad Air e successivo e and iPod touch 6a generazione, contiene diversi fix di sicurezza che risolvono diverse gravi vulnerabilità che potrebbero consentire ad un attaccante di accedere ad aree di memoria protette, eseguire codice arbitrario sul sistema o provocare condizioni di denial of service.

Dettagli delle vulnerabilità risolte in iOS (in Inglese):

  • Airport: a type confusion issue may allow a malicious application to elevate privileges (CVE-2018-4303).
  • Disk Images: a memory corruption issue may allow an application to execute arbitrary code with kernel privileges (CVE-2018-4465).
  • FaceTime: a local attacker may be able to view contacts from the lock screen (CVE-2018-4430).
  • File Provider: a malicious application may be able to learn information about the presence of other applications on the device (CVE-2018-4446).
  • Kernel: an attacker in a privileged position may be able to perform a denial of service attack (CVE-2018-4460).
  • Kernel: a memory initialization issue may allow a local user to read kernel memory (CVE-2018-4431).
  • Kernel: a logic issue may allow a malicious application to elevate privileges (CVE-2018-4435).
  • Kernel: a memory corruption issue may allow an application to execute arbitrary code with kernel privileges (CVE-2018-4447).
  • Kernel: a memory corruption issue may allow an application to execute arbitrary code with kernel privileges (CVE-2018-4461).
  • LinkPresentation: an issue in the handling of URLs may lead to user interface spoofing processing a maliciously crafted email (CVE-2018-4429).
  • Profiles: a certificate validation issue in configuration profiles may allow an untrusted configuration profile to be incorrectly displayed as verified (CVE-2018-4436).
  • Safari: a logic issue may lead to user interface spoofing visiting a malicious website (CVE-2018-4439).
  • Safari: a logic issue may lead to address bar spoofing visiting a malicious website (CVE-2018-4440).
  • Safari: a user may be unable to fully delete browsing history (CVE-2018-4445).
  • WebKit: a memory corruption issue may lead to arbitrary code execution processing maliciously crafted web content (CVE-2018-4441, CVE-2018-4442, CVE-2018-4443).
  • WebKit: a logic issue may lead to arbitrary code execution processing maliciously crafted web content (CVE-2018-4438).
  • WebKit: multiple memory corruption issues may lead to arbitrary code execution processing maliciously crafted web content (CVE-2018-4437, CVE-2018-4464).

Si raccomanda di scaricare ed applicare gli aggiornamenti di sicurezza messi a disposizione da Apple il più presto possibile.

Per maggiori informazioni sui prodotti vulnerabili e sugli aggiornamenti disponibili è possibile consultare i seguenti bollettini di sicurezza di Apple (in Inglese):

  • HT209341 (macOS Mojave 10.14.2, Security Update 2018-003 High Sierra, Security Update 2018-006 Sierra)
  • HT209340 (iOS 12.1.1)
  • HT209342 (tvOS 12.1.1)
  • HT209344 (Safari 12.0.2)
  • HT209345 (iTunes 12.9.2 for Windows)
  • HT209346 (iCloud for Windows 7.9)
  • HT209347 (Shortcuts 2.1.2 for iOS)

Notizie correlate

Aggiornamenti di sicurezza per prodotti Apple (30 ottobre 2018)

31 ottobre 2018

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, watchOS, tvOS, Safari, iTunes per Windows e iCloud per Windows.Leggi tutto

Aggiornamento di sicurezza per Apple iOS 12

9 ottobre 2018

Apple ha rilasciato un aggiornamento di sicurezza per iOS che risolve due vulnerabilità che potrebbero consentire ad un attaccante locale di accedere ad informazioni potenzialmente sensibili.Leggi tutto

Apple risolve numerose vulnerabilità in macOS Mojave 10.14

25 settembre 2018

Apple ha rilasciato macOS Mojave 10.14. Questo aggiornamento contiene diversi fix di sicurezza che risolvono numerose vulnerabilità, di cui alcune di gravità elevata.Leggi tutto