Apple chiude una vagonata di vulnerabilità

Sappiamo bene che nessun sistema operativo o software è perfettamente sicuro, ma quando si verificano congiunzioni come quella di questa settimana, si resta sempre un po' sorpresi.

Come segnalato dal CERT nazionale, infatti, Apple ha rilasciato degli aggiornamenti che riguardano praticamente tutti i suoi prodotti e coprono una quantità impressionante di vulnerabilità.

Non è dato sapere se queste siano già state utilizzate da cybercriminali, ma sappiamo che molte permettono l'esecuzione di codice malevolo anche semplicemente visitando una pagina web o aprendo allegati di posta, quindi non ci sarebbe da stupirsi se qualche malware fosse stato fatto girare in questo modo.

Particolarmente interessanti sono le vulnerabilità di watchOS, dal momento che non siamo ancora abituati a combattere minacce da polso che, però, non sono da sottovalutare. Anche in questo caso, infatti, sono molte quelle che permettono di eseguire codice da remoto.

Non mancano, inoltre, problemi di buffer overflow in librerie standard, che possono portare a gravi problemi come quelli che abbiamo visto in Android con la terribile vulnerabilità di Stagefright.

Il metodo per mettere al sicuro i propri dispositivi è il solito: aggiornare software e sistemi operativi alle ultime release che sono: iOS 9.2; OS X El Capitan 10.11.2; Safari 9.0.2; tvOS 9.1; watchOS 2.1; Xcode 7.2

Di seguito, elenchiamo le vulnerabilità come riportate dal CERT:

• Svariate vulnerabilità nelle versioni di PHP precedenti alla 5.5.29 su OS X El Capitan, la più grave delle quali può consentire l'esecuzione di codice in modalità remota (CVE-2015-7803, CVE-2015-7804).
• Problema nella gestione di hard link nella sandbox su watchOS, tvOS e OS X El Capitan (CVE-2015-7001).
• Problema di corruzione della memoria nell'interfaccia Bluetooth HCI su OS X El Capitan (CVE-2015-7108).
• Problema di convalida dell'input nella gestione degli URL su OS X El Capitan (CVE-2015-7094).
• Problema di accesso alla memoria non inizializzata in zlib su watchOS, tvOS e OS X El Capitan (CVE-2015-7054).
• Problema nell'installazione di profili di configurazione su tvOS e OS X El Capitan (CVE-2015-7062).
• Problema di corruzione della memoria durante la gestione di file di font su watchOS, tvOS e OS X El Capitan (CVE-2015-7105).
• Svariati problemi di corruzione della memoria nella gestione di file multimediali malformati su tvOS e OS X (CVE-2015-7074, CVE-2015-7075).
• Problema di corruzione della memoria durante l'analisi delle immagini disco su tvOS e OS X El Capitan (CVE-2015-7110).
• Problema di convalida del path nel loader del kernel su OS X El Capitan (CVE-2015-7063).
• Problema di convalida del path dei segnalibri di un'app su OS X El Capitan (CVE-2015-7071).
• Vulnerabilità use-after-free nella gestione degli oggetti VM su OS X El Capitan (CVE-2015-7078).
• Problema di riferimento ad entità esterna XML in iBook (CVE-2015-7081).
• Problema di dereferenziazione di un puntatore nullo su OS X El Capitan (CVE-2015-7076).
• Problema di corruzione della memoria nel Driver Intel Graphics su OS X El Capitan (CVE-2015-7106).
• Problema di accesso alla memoria fuori dai limiti nel Driver Intel Graphics su OS X El Capitan (CVE-2015-7077).
• Problema di corruzione della memoria in IOAcceleratorFamily su tvOS e OS X El Capitan (CVE-2015-7109).
• Diversi problemi di corruzione della memoria nell'API IOHIDFamily su watchOS, tvOS e OS X El Capitan (CVE-2015-7111, CVE-2015-7112).
• Dereferenziazione di un puntatore nullo nella gestione di un certo tipo di userclient su watchOS, tvOS e OS X El Capitan (CVE-2015-7068).
• Dereferenziazione di un puntatore nullo nella gestione di IOThunderboltFamily di alcuni tipi di userclient su OS X El Capitan (CVE-2015-7067).
• Svariati problemi di negazione di servizio su watchOS, tvOS e OS X El Capitan (CVE-2015-7040, CVE-2015-7041, CVE-2015-7042, CVE-2015-7043).
• Svariati problemi di corruzione della memoria nel kernel su watchOS, tvOS e OS X El Capitan (CVE-2015-7083, CVE-2015-7084).
• Problema nel parsing dei messaggi mach su watchOS, tvOS e OS X El Capitan (CVE-2015-7047).
• Problema di convalida durante il caricamento delle estensioni del kernel su OS X El Capitan (CVE-2015-7052).
• Problema nel modo in cui Accesso Portachiavi interagisce con Keychain Agent su tvOS e OS X El Capitan (CVE-2015-7045).
• Un problema di corruzione della memoria durante la gestione di archivi su watchOS, tvOS e OS X (CVE-2011-2895).
• Svariati problemi di buffer overflow nella libreria standard C su watchOS, tvOS e OS X El Capitan (CVE-2015-7038, CVE-2015-7039).
• Svariate vulnerabilità nelle versioni di expat precedenti la 2.1.0 su OS X El Capitan (CVE-2012-0876, CVE-2012-1147, CVE-2012-1148).
• Problema di corruzione della memoria nel parsing di file XML su tvOS e OS X El Capitan (CVE-2015-3807).
• Svariati problemi di corruzione della memoria in OpenGL su watchOS, tvOS e OS X (CVE-2015-7064, CVE-2015-7065, CVE-2015-7066).
• Problema di convalida dell'input in OpenLDAP su OS X El Capitan (CVE-2015-6908).
• Svariate vulnerabilità nelle versioni di LibreSSL precedenti alla 2.1.8 su OS X El Capitan (CVE-2015-5333, CVE-2015-5334).
• Problema di corruzione della memoria nella gestione dei file di iWork (CVE-2015-7107).
• Problema di insufficiente separazione dei privilegi in xnu su watchOS, tvOS e OS X El Capitan (CVE-2015-7046).
• Problema di corruzione della memoria nella gestione degli handshake SSL su watchOS, tvOS e OS X El Capitan (CVE-2015-7073).
• Svariati problemi di corruzione della memoria nel decoder ASN.1 su watchOS, tvOS e OS X (CVE-2015-7059, CVE-2015-7060, CVE-2015-7061).
• Problema nella convalida delle Access Control List per elementi del Portachiavi su tvOS e OS X (CVE-2015-7058).
• Problema di privilegi nella gestione di union mount su OS X El Capitan (CVE-2015-7044).
• Svariati problemi di corruzione della memoria in WebKit su tvOS e iOS (CVE-2015-7048, CVE-2015-7095, CVE-2.015-7096, CVE-2015-7097, CVE-2015-7098, CVE-2015-7099, CVE-2015-7100, CVE-2015-7101, CVE -2015-7102, CVE-2015-7103, CVE-2015-7104).
• Problema di insufficiente convalida dell'input nel blocco dei contenuti in WebKit su iOS (CVE-2015-7050).
• Problema di controllo di accesso in AppleMobileFileIntegrity su tvOS e iOS 9. (CVE-2015-7055).
• Svariati problemi di convalida dei segmenti in dyld su watchOS, tvOS e iOS (CVE-2015-7072, CVE-2015-7079).
• Svariati problemi di convalida del path in Mobile Replayer su iOS (CVE-2015-7069, CVE-2015-7070).
• Problema di corruzione della memoria nella gestione di plist malformate in LaunchServices su watchOS e iOS (CVE-2015-7113).
• Problema di temporizzazione nel caricamento della trust cache in MobileStorageMounter su tvOS e iOS (CVE-2015-7051).
• Problema di convalida del path in Backup Mobile su iOS (CVE-2015-7037).
• Un sito Web può visualizzare contenuto con l'URL di un altro sito Web in Safari su iOS (CVE-2015-7093).
• Mancato controllo delle restrizioni lato client da parte del server quando viene fatta una richiesta a Siri su iOS (CVE-2015-7080).
• Problema di corruzione della memoria in ImageIO su watchOS, tvOS e iOS (CVE-2015-7053).
• Svariati problemi di corruzione della memoria nella gestione di file di font su watchOS (CVE-2015-6978).
• Problema di corruzione della memoria nel kernel su watchOS (CVE-2015-6979).
• Svariate vulnerabilità nelle versioni di Git precedenti alla 2.5.4 in Xcode (CVE-2015-7082).
• Xcode non rispetta la direttiva .gitignore (CVE-2015-7056).
• Svariati problemi di corruzione della memoria nella gestione dei file mach-o in Xcode (CVE-2015-7049, CVE-2015-7057).