Acerca do conteúdo de segurança da Actualização de Segurança 2008-008 / Mac OS X v10.5.6

  • Última alteração: 12 Maio, 2009
  • Artigo: HT3338

Resumo

Este documento descreve o conteúdo de segurança da Actualização de Segurança 2008-008 / Mac OS X v10.5.6, que pode ser descarregada e instalada através das preferências da Actualização de Software ou a partir das Descargas Apple .

Para protecção dos nossos clientes, a Apple não divulga, discute ou confirma questões de segurança até ter sido efectuada uma investigação completa e estarem disponíveis quaisquer correcções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o sítio da Web Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte "Como utilizar a chave PGP de segurança dos produtos Apple."

Sempre que possível, são utilizadas ID CVE para referenciar as vulnerabilidades e dar mais informações.

Para obter mais informações sobre outras actualizações de segurança, consulte "Actualizações de segurança Apple."

Produtos afectados

Segurança de produtos, Mac OS X 10.5

Actualização de Segurança 2008-008 / Mac OS X v10.5.6

  • ATS

    ID CVE: CVE-2008-4236

    Disponível para: Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Visualizar ou transferir um ficheiro PDF que inclui um tipo de letra incorporado, criado com intuito malicioso, pode resultar numa negação de serviço

    Descrição: Pode ocorrer um ciclo infinito no processamento de tipos de letra incorporados em ficheiros PDF pelo servidor Apple Type Services. Visualizar ou transferir um ficheiro PDF que contenha um tipo de letra criado com intuito malicioso pode resultar numa negação de serviço. Esta actualização corrige o problema através de validação adicional de tipos de letra incorporados. Este problema não afecta sistemas anteriores ao Mac OS X v10.5. Agradecimentos a Michael Samarin e Mikko Vihonen, da Futurice Ltd., por comunicarem este problema.

  • BOM

    ID CVE: CVE-2008-4217

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Transferir ou visualizar um arquivo CPIO criado com intuito malicioso pode resultar na execução de código arbitrário ou no encerramento inesperado de aplicações

    Descrição: Um problema relacionado com assinatura no processamento de cabeçalhos CPIO pela BOM pode resultar numa sobrecarga da memória intermédia. A transferência ou visualização de um arquivo CPIO criado com intuito malicioso pode resultar na execução de código arbitrário ou no encerramento inesperado de aplicações. Esta actualização corrige o problema ao efectuar uma validação adicional dos cabeçalhos CPIO. Agradecimentos: Apple.

  • CoreGraphics

    ID CVE: CVE-2008-3623

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Visualizar uma imagem produzida com intuito malicioso pode provocar o encerramento inesperado de aplicações ou a execução de código arbitrário

    Descrição: Existe uma sobrecarga da memória intermédia da área dinâmica para dados no processamento de zonas a cores no CoreGraphics. Visualizar um ficheiro criado com intuito malicioso pode conduzir ao encerramento inesperado de aplicações ou à execução de código arbitrário. Esta actualização corrige o problema através da verificação de limites melhorada. Agradecimentos: Apple.

  • CoreServices

    ID CVE: CVE-2008-3170

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Visitar um Website concebido com intuito malicioso pode levar à divulgação de credenciais do utilizador.

    Descrição: O Safari permite aos websites definir cookies para domínios de nível superior específico de países, que podem permitir a um intruso remoto efectuar um ataque de fixação de sessão e furtar as credenciais de um utilizador. Esta actualização corrige o problema executando a validação adicional de nomes de domínio. Agradecimentos a Alexander Clauss, da iCab.de, por comunicar este problema.

  • CoreTypes

    ID CVE: CVE-2008-4234

    Disponível para: Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Qualquer tentativa de iniciar conteúdo descarregado não seguro pode não exibir uma mensagem de aviso

    Descrição: O Mac OS X fornece a opção Download Validation (Validação de descargas) para indicar ficheiros potencialmente inseguros. Aplicações como o Safari e outras utilizam a opção Download Validation (Validação de descargas) para avisar os utilizadores antes de abrirem ficheiros assinalados como potencialmente inseguros. Esta actualização é adicionada à lista de tipos potencialmente inseguros. Adiciona o tipo de conteúdo para os ficheiros com permissões executáveis e sem associação a aplicações específicas. Estes ficheiros são potencialmente inseguros, uma vez que são iniciados no Terminal e o respectivo conteúdo é executado como comandos. Embora estes ficheiros não sejam executados automaticamente, se forem abertos manualmente podem executar código arbitrário. Este problema não afecta os sistemas anteriores ao Mac OS X v10.5.

  • Plug-in para Flash Player

    CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Várias vulnerabilidades no plug-in do Adobe Flash Player

    Descrição: Existem vários problemas no plug-in do Adobe Flash Player, sendo que o mais grave pode resultar na execução de código arbitrário ao visualizar um Website criado com intuito malicioso. Os problemas são corrigidos ao actualizar o plug-in do Flash Player para a versão 9.0.151.0. Estão disponíveis mais informações no website da Adobe em http://www.adobe.com/support/security/bulletins/apsb08-20.html

  • Kernel

    ID CVE: CVE-2008-4218

    Disponível para: Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Um utilizador local pode obter privilégios de sistema

    Descrição: Existem problemas de capacidade excedida de números inteiros nas chamadas de sistema i386_set_ldt e i386_get_ldt, que podem permitir a um utilizador local executar código arbitrário com privilégios de sistema. Esta actualização corrige os problemas através da verificação de limites melhorada. Estes problemas não afectam os sistemas PowerPC. Agradecimentos a Richard Vaneeden, da IOActive, Inc., por comunicar estes problemas.

  • Kernel

    ID CVE: CVE-2008-4219

    Disponível para: Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: O lançamento de um executável que associe bibliotecas dinâmicas numa partilha NFS pode resultar num encerramento inesperado do sistema

    Descrição: Pode ocorrer um ciclo infinito se um programa localizado numa partilha NFS receber uma excepção. Isto pode resultar num encerramento inesperado do sistema. Esta actualização corrige o problema através do processamento melhorado de excepções. Agradecimentos a Ben Loer, da Universidade de Princeton, por comunicar este problema.

  • Libsystem

    ID CVE: CVE-2008-4220

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: As aplicações que utilizam a API inet_net_pton estão sujeitas à execução de código arbitrário ou a um encerramento inesperado de aplicações.

    Descrição: Existe um problema de capacidade excedida de números inteiros na API inet_net_pton do Libsystem, que pode resultar na execução de código arbitrário ou no encerramento inesperado da aplicação que utiliza a API. Esta actualização corrige o problema através da verificação de limites melhorada. Esta API não é normalmente chamada com dados não fidedignos e não são conhecidos casos exploráveis deste problema. Esta actualização é fornecida para ajudar a mitigar potenciais ataques contra qualquer aplicação que utilize esta API.

  • Libsystem

    ID CVE: CVE-2008-4221

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: As aplicações que utilizem a API strptime podem ser vulneráveis à execução de código arbitrário ou ao encerramento inesperado de aplicações

    Descrição: Existe um problema de corrupção de memória da API strptime do Libsystem. A análise de uma cadeia de dados criada com intuito malicioso pode originar a execução de código arbitrário ou o encerramento inesperado de aplicações. Esta actualização corrige o problema através da atribuição melhorada da memória. Agradecimentos: Apple.

  • Libsystem

    ID CVE: CVE-2008-1391

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: As aplicações que utilizam a API strfmon podem estar sujeitas a encerramento inesperado de aplicações ou à execução de código arbitrário

    Descrição: Existe um problema de capacidade excedida de números inteiros na implementação strfmon do Libsystem. Uma aplicação designada strfmon com elevados valores de determinados campos de valores inteiros no argumento de cadeia de formato pode ser encerrada inesperadamente ou originar a execução de código arbitrário. Esta actualização corrige os problemas através da verificação de limites melhorada.

  • Managed Client

    ID CVE: CVE-2008-4237

    Disponível para: Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: As definições geridas da protecção de ecrã não são aplicadas

    Descrição: O método através do qual o software num sistema cliente gerido instala informações de configuração por anfitrião nem sempre identifica correctamente o sistema. Num sistema identificado incorrectamente, as definições por anfitrião não são aplicadas, incluindo o bloqueio da protecção de ecrã. Esta actualização corrige o problema, solicitando ao Managed Client a identificação correcta do sistema. Este problema não afecta sistemas com Ethernet incorporada. Agradecimentos a John Barnes, da ESRI, e a Trevor Lalish-Menagh, da Tamman Technologies, Inc., por comunicarem este problema.

  • network_cmds

    ID CVE: CVE-2008-4222

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Um intruso remoto pode causar uma negação de serviço se a opção Partilha de Internet estiver activada

    Descrição: Pode ocorrer um ciclo infinito no processamento de pacotes TCP em natd. Ao enviar um pacote TCP criado com intuito malicioso, um intruso remoto pode causar uma negação de serviço se a opção Partilha de Internet estiver activada. Esta actualização corrige o problema através de uma validação adicional de pacotes TCP. Agradecimentos a Alex Rosenberg, da Ohmantics, e a Gary Teter, da Paizo Publishing, por comunicarem este problema.

  • Podcast Producer

    ID CVE: CVE-2008-4223

    Disponível para: Mac OS X Server v10.5 a v10.5.5

    Impacto: Um intruso remoto pode aceder às funções administrativas do Podcast Producer

    Descrição: Existe um problema de autenticação no servidor Podcast Producer, que pode fazer com que um utilizador não autorizado aceda a funções administrativas no servidor. Esta actualização corrige o problema através da melhoria da manipulação das restrições de acesso. O Podcast Producer foi introduzido no Mac OS X Server v10.5.

  • UDF

    ID CVE: CVE-2008-4224

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: A abertura de um ficheiro ISO pode resultar no encerramento inesperado do sistema

    Descrição: Existe um problema de validação de entrada no processamento de volumes UDF com formato incorrecto. A abertura de um ficheiro ISO criado com intuito malicioso pode provocar o encerramento inesperado do sistema. Esta actualização corrige o problema através da validação de entradas melhorada. Agradecimentos a Mauro Notarianni, da PCAX Solutions, por comunicar este problema.

Important: Mention of third-party websites and products is for informational purposes only and constitutes neither an endorsement nor a recommendation. Apple assumes no responsibility with regard to the selection, performance or use of information or products found at third-party websites. Apple provides this only as a convenience to our users. Apple has not tested the information found on these sites and makes no representations regarding its accuracy or reliability. There are risks inherent in the use of any information or products found on the Internet, and Apple assumes no responsibility in this regard. Please understand that a third-party site is independent from Apple and that Apple has no control over the content on that website. Please contact the vendor for additional information.