Acerca dos conteúdos de segurança da Atualização do AirPort 2006-001 e da Atualização de segurança 2006-005
Este documento descreve a Atualização de segurança 2006-005 e os conteúdos de segurança da Atualização do AirPort 2006-001, que podem ser descarregadas e instaladas através das preferências da Atualização de software ou a partir das Descargas da Apple.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter mais informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
Atualização do AirPort 2006-001 e Atualização de segurança 2006-005
AirPort
ID CVE: CVE-2006-3507
Disponível para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.7, Mac OS X Server v10.4.7
Impacto: atacantes na rede sem fios poderão provocar a execução de um código arbitrário
Descrição: existem duas ultrapassagens do limite máximo do buffer em pilha diferentes no processamento de frames criadas incorretamente por parte do controlador sem fios do AirPort. Um atacante nas proximidades pode conseguir provocar uma ultrapassagem do limite máximo ao inserir uma frame criada com intuito malicioso numa rede sem fios. Quando o AirPort está ativado, esta situação pode resultar na execução de um código arbitrário com privilégios do sistema. Este problema afeta os computadores Power Mac, PowerBook, iBook, iMac, Mac Pro, Xserve e Mac mini com processador PowerPC equipados com rede sem fios. Os computadores Mac mini, MacBook e MacBook Pro com processador Intel não são afetados. Não existe qualquer exploração conhecida para este problema. Esta atualização resolve os problemas ao efetuar uma validação adicional de frames sem fios.
AirPort
ID CVE: CVE-2006-3508
Disponível para: Mac OS X v10.4.7, Mac OS X Server v10.4.7
Impacto: atacantes na rede sem fios poderão provocar falhas no sistema, elevação de privilégios ou execução de um código arbitrário
Descrição: existe uma ultrapassagem do limite máximo do buffer da área dinâmica no processamento de atualizações de cache de leitura por parte do controlador sem fios do AirPort. Um atacante nas proximidades pode conseguir provocar a ultrapassagem do limite máximo ao inserir uma frame criada com intuito malicioso na rede sem fios. Esta situação pode resultar numa falha do sistema, na elevação de privilégios ou na execução de um código arbitrário com privilégios do sistema. Este problema afeta computadores Mac mini, MacBook e MacBook Pro com processador Intel equipados com rede sem fios. Os computadores Power Mac, PowerBook, iBook, iMac, Mac Pro, Xserve e Mac mini com processador PowerPC não são afetados. Esta atualização resolve o problema ao efetuar uma validação adicional de frames sem fios. Não existe qualquer exploração conhecida para este problema. Este problema não afeta os sistemas anteriores ao Mac OS X v10.4.
AirPort
ID CVE: CVE-2006-3509
Disponível para: Mac OS X v10.4.7, Mac OS X Server v10.4.7
Impacto: dependendo de software sem fios de terceiros em utilização, os atacantes na rede sem fios poderão provocar falhas ou a execução de um código arbitrário
Descrição: existe uma ultrapassagem do limite máximo de números inteiros na API do controlador sem fios do AirPort para um software sem fios de terceiros. Esta situação pode resultar numa ultrapassagem do limite máximo do buffer nas aplicações dependentes da utilização da API. Não são conhecidas aplicações afetadas neste momento. Se uma aplicação for afetada, um atacante nas proximidades poderá conseguir provocar uma ultrapassagem do limite máximo ao inserir uma frame criada com intuito malicioso na rede sem fios. Isto poderá causar falhas ou resultar na execução de um código arbitrário com os privilégios do utilizador a executar a aplicação. Este problema afeta computadores Mac mini, MacBook e MacBook Pro com processador Intel equipados com rede sem fios. Os computadores Power Mac, PowerBook, iBook, iMac, Mac Pro, Xserve e Mac mini com processador PowerPC não são afetados. Esta atualização resolve os problemas ao efetuar uma validação adicional de frames sem fios. Não existe qualquer exploração conhecida para este problema. Este problema não afeta os sistemas anteriores ao Mac OS X v10.4.
Nota de instalação
O utilitário Atualização de software irá apresentar a atualização que se aplica à sua configuração do sistema. É necessária apenas uma: a Atualização do AirPort 2006-001 ou a Atualização de segurança 2006-005.
Para referência, caso esteja a instalar a partir de um pacote descarregado manualmente:
A Atualização do AirPort 2006-001 será instalada nos seguintes sistemas:
Mac OS X v10.4.7 Builds 8J2135 ou 8J2135a
A Atualização de segurança 2006-005 será instalada nos seguintes sistemas:
Mac OS X v10.3.9
Mac OS X Server v10.3.9
Mac OS X v10.4.7 Builds 8J135, 8K1079, 8K1106, 8K1123 ou 8K1124
Mac OS X Server v10.4.7 Builds 8J135 ou 8K1079
Para os sistemas Mac OS X 10.3.9 e Mac OS X Server 10.3.9, se a Atualização de software não apresentar a Atualização de segurança 2006-005, terão de ser instaladas as seguintes atualizações: