Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Apple risolve numerose vulnerabilità in macOS Catalina 10.15

apple  iCloud  iTunes   mercoledì, 9 ottobre 2019

In data 7 ottobre 2019 Apple ha rilasciato la nuova versione del suo sistema operativo per i computer Mac, denominata macOS Catalina 10.15. Questo aggiornamento contiene diversi fix di sicurezza che risolvono numerose vulnerabilità, di cui alcune di gravità elevata, in macOS Mojave 10.14 e versioni precedenti.

Lo sfruttamento delle più gravi tra queste vulnerabilità potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario con privilegi elevati, ottenere informazioni sensibili sull’utente corrente, provocare condizioni di denial of service.

Dettagli delle vulnerabilità risolte in macOS 10.15 (in Inglese):

  • AMD: a memory corruption issue may allow an application to execute arbitrary code with kernel privileges (CVE-2019-8748).
  • apache_mod_php: multiple issues were addressed by updating to PHP version 7.3.8 (CVE-2019-11041, CVE-2019-11042).
  • CoreAudio: a memory corruption issue may result in the disclosure of process memory processing a maliciously crafted movie (CVE-2019-8705).
  • Crash Reporter: the “Share Mac Analytics” setting may not be disabled when a user deselects the switch to share analytics (CVE-2019-8757).
  • Intel Graphics Driver: a memory corruption issue may allow an application to execute arbitrary code with system privileges (CVE-2019-8758).
  • IOGraphics: a logic issue may allow a malicious application to determine kernel memory layout (CVE-2019-8755).
  • Kernel: a memory corruption issue may allow an application to execute arbitrary code with kernel privileges (CVE-2019-8717).
  • Kernel: a memory corruption issue may allow an application to execute arbitrary code with kernel privileges (CVE-2019-8781).
  • Notes: a local user may be able to view a user’s locked notes (CVE-2019-8730).
  • PDFKit: an issue in the handling of links in encrypted PDFs may allow an attacker to exfiltrate the contents of an encrypted PDF (CVE-2019-8772).
  • SharedFileList: a malicious application may be able to access recent documents (CVE-2019-8770).
  • sips: a memory corruption issue may allow an application to execute arbitrary code with system privileges (CVE-2019-8701).
  • UIFoundation: a buffer overflow may lead to arbitrary code execution processing a maliciously crafted text file (CVE-2019-8745).
  • WebKit: an issue in the drawing of web page elements may reveal browsing history visiting a maliciously crafted website (CVE-2019-8769).
  • WebKit: a user may be unable to delete browsing history items via the “Clear History and Website Data” command (CVE-2019-8768).

Apple ha inoltre rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in iTunesiCloud per Windows. iTunes è un’applicazione per la gestione di file multimediali. iCloud è il sistema SaaS di Apple basato sul cloud computing.

Si raccomanda di scaricare ed applicare gli aggiornamenti di sicurezza messi a disposizione da Apple il più presto possibile.

Per maggiori informazioni sui prodotti vulnerabili e sugli aggiornamenti disponibili è possibile consultare i seguenti bollettini di sicurezza di Apple (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza per prodotti Apple (10-11 dicembre 2019)

12 dicembre 2019

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, iPadOS, tvOS, watchOS, Safari, Xcode, iTunes per Windows e iCloud per Windows.Leggi tutto

Aggiornamenti di sicurezza per prodotti Apple (29 ottobre 2019)

30 ottobre 2019

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, iPadOS, tvOS, watchOS e Safari.Leggi tutto

Scoperte 17 app su Apple App Store infette da malware

28 ottobre 2019

Gli esperti di sicurezza della società Wandera hanno scoperto sull'App Store di Apple 17 app per iOS che risultano infette da un clicker trojan.Leggi tutto