Acerca do conteúdo de segurança da Actualização de Segurança 2009-001

  • Última alteração: 13 Março, 2009
  • Artigo: HT3438

Resumo

Este documento descreve a Actualização de Segurança 2009-001, que pode ser descarregada e instalada através das preferências da Actualização de Software ou a partir dos Downloads Apple.

Para protecção dos nossos clientes, a Apple não divulga, discute ou confirma questões de segurança até ter sido efectuada uma investigação completa e estarem disponíveis quaisquer correcções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o sítio da Web Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte "Como utilizar a chave PGP de segurança dos produtos Apple."

Sempre que possível, são utilizadas ID CVE para referenciar as vulnerabilidades e dar mais informações.

Para obter mais informações sobre outras actualizações de segurança, consulte "Actualizações de segurança Apple."

Produtos afectados

Segurança de produtos, Mac OS X 10.5.6, Mac OS X 10.4.11

Actualização de Segurança 2009-001

  • Servidor AFP

    ID CVE: CVE-2009-0142

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Um utilizador com capacidade para ligar a um servidor AFP poderá desencadear uma negação de serviço.

    Descrição: Uma condição race no servidor AFP poderá provocar um loop infinito. A enumeração de ficheiros num servidor AFP poderá causar uma negação de serviço. Esta actualização resolve o problema através da melhoria da lógica da enumeração de ficheiros. Este problema afecta apenas os sistemas com Mac OS X v10.5.6.

  • Vídeo Apple Pixlet

    ID CVE: CVE-2009-0009

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Abrir um ficheiro de filme criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

    Descrição: Existe um problema de corrupção de memória ao manusear ficheiros de filmes através do codec Pixlet. Abrir um ficheiro de filme criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta actualização corrige o problema através da verificação de limites melhorada. Agradecimentos: Apple.

  • CarbonCore

    ID CVE: CVE-2009-0020

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Abrir um ficheiro com uma bifurcação de recursos concebida com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

    Descrição: Existe um problema de corrupção de memória durante o manuseamento das bifurcações de recursos pelo Gestor de Recursos. Abrir um ficheiro com uma bifurcação de recursos concebida com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta actualização corrige o problema através da melhoria da validação das bifurcações de recursos. Agradecimentos: Apple.

  • CFNetwork

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Restaura o funcionamento correcto dos cookies com tempos de expiração nulos.

    Descrição: Esta actualização corrige uma regressão não de segurança introduzida no Mac OS X 10.5.6. Os cookies poderão não ser correctamente definidos se um site Web tentar definir um cookie de sessão introduzindo um valor nulo no campo "expira", em vez de omitir o campo. Esta actualização corrige o problema ignorando o campo "expira" se este apresentar um valor nulo.

  • CFNetwork

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Restaura o funcionamento correcto dos cookies de sessão nas aplicações.

    Descrição: Esta actualização resolve uma regressão não de segurança introduzida no Mac OS X 10.5.6. CFNetwork poderá não guardar cookies no disco se várias aplicações abertas tentarem definir cookies de sessão. Esta actualização corrige o problema, assegurando que cada aplicação armazena as respectivas cookies de sessão separadamente.

  • Assistente de Certificação

    ID CVE: CVE-2009-0011

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Um utilizador local pode manipular ficheiros com os privilégios de outro utilizador que executa o Assistente de Certificação.

    Descrição: Existe uma operação insegura sobre ficheiros durante o manuseamento de ficheiros temporários pelo Assistente de Certificação. Isto poderá permitir que um utilizador local substitua ficheiros com os privilégios de outro utilizador que esteja a executar o Assistente de Certificação (Certificate Assistant). Esta actualização corrige o problema através da melhoria do manuseamento dos ficheiros temporários. Este problema não afecta sistemas anteriores ao Mac OS X v10.5. Agradecimentos: Apple.

  • ClamAV

    ID CVE: CVE-2008-5050, CVE-2008-5314

    Disponível para: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Impacto: Várias vulnerabilidades no ClamAV 0.94

    Descrição: Existem várias vulnerabilidades no ClamAV 0.94, das quais a mais grave pode provocar a execução de código arbitrário. Esta actualização corrige os problemas através da actualização do ClamAV para a versão 0.94.2. O ClamAV é distribuído apenas com os sistemas Mac OS X Server. Estão disponíveis mais informações através do site Web do ClamAV, em http://www.clamav.net/

  • CoreText

    ID CVE: CVE-2009-0012

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Visualizar conteúdo Unicode concebido com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

    Descrição: Poderá ser ultrapassado o limite do buffer da pilha durante o processamento de cadeias de caracteres Unicode em CoreText. A utilização de CoreText para manusear cadeias de caracteres Unicode concebidas com intuito malicioso, como por exemplo durante a visualização de uma página Web concebida com intuito malicioso, poderá provocar o encerramento inesperado da aplicação ou a execuação de código arbitrário. Esta actualização corrige o problema através da verificação de limites melhorada. Este problema não afecta os sistemas anteriores ao Mac OS X v10.5. Os nossos agradecimentos a Rosyna da Unsanity por comunicar este problema.

  • CUPS

    ID CVE: CVE-2008-5183

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Visitar um site Web concebido com intuito malicioso pode provocar o encerramento inesperado da aplicação.

    Descrição: Exceder o número máximo de subscrições RSS resulta numa desreferenciação do ponteiro nulo na inrterface Web do CUPS. Isto poderá provocar o encerramento inesperado da aplicação ao visitar um site Web concebido com intuito malicioso. Para desencadear este problema, as credenciais de utilizador válidas são conhecidas pelo atacante ou encontram-se na memória cache do browser Web do utilizador. O CUPS é automaticamente reiniciado após o desencadeamento deste problema. Esta actualização corrige o problema através do manuseamento correcto do número de subscrições RSS. Este problema não afecta os sistemas anteriores ao Mac OS X v10.5.

  • DS Tools

    ID CVE: CVE-2009-0013

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: As palavras-passe fornecidas à dscl ficam expostas a outros utilizadores locais.

    Descrição: A ferramenta de linha de comandos dscl exigia que as palavras-passe lhes fossem comunicadas como argumentos, o que tem o potencial de as expor a outros utilizadores locais. As palavras-passe expostas incluem as de utilizadores e administradores. Esta actualização faz com que o parâmetro da palavra-passe seja opcional; a dscl pede a palavra-passe quando necessita dela. Agradecimentos: Apple.

  • fetchmail

    ID CVE: CVE-2007-4565, CVE-2008-2711

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Várias vulnerabilidades no fetchmail 6.3.8

    Descrição: Existem várias vulnerabilidades na versão 6.3.8 do fetchmail, das quais a mais grave poderá originar uma negação de serviço. Esta actualização corrige os problemas através da actualização para a versão 6.3.9. Obtenha mais informações através do site Web do fetchmail em http://fetchmail.berlios.de/

  • Folder Manager

    ID CVE: CVE-2009-0014

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Outros utilizadores locais poderão aceder à pasta de descarregamentos

    Descrição: Existe um problema de permissões predefinidas no Folder Manager (Gestor de Pastas). Quando um utilizador elimina a sua pasta de descarregamentos (Downloads) e o Folder Manager volta a criá-la, a pasta é criada com permissões de leitura para todos. Esta actualização corrige o problema fazendo com que o Folder Manager limite as permissões, para que a pasta seja acessível apenas ao utilizador. Este problema afecta apenas as aplicações que utilizem o Folder Manager. Este problema não afecta os sistemas anteriores ao Mac OS X v10.5. Os nossos agradecimentos a Graham Perrin da CENTRIM, Universidade de Brighton, por comunicar este problema.

  • FSEvents

    ID CVE: CVE-2009-0015

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Utilizando o sistema FSEvents, um utilizador local poderá ver actividade do sistema de ficheiros que, de outra forma, não estaria disponível.

    Descrição: Existe um problema de gestão de credenciais em fseventsd. Utilizando o sistema FSEvents, um utilizador local poderá ver actividade do sistema de ficheiros que, de outra forma, não estaria disponível. Isto inclui o nome de um directório que, de outra forma, o utilizador não conseguiria ver, e a detecção de actividade no directório numa determinada altura. Esta actualização resolve o problema através de uma melhoria da validação das credenciais em fseventsd. Este problema não afecta os sistemas anteriores ao Mac OS X v10.5. Os nossos agradecimentos a Mark Dalrymple por comunicar este problema.

  • Hora da rede

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: A configuração do serviço Hora da rede (Network Time) foi actualizada

    Descrição: Como medida de segurança proactiva, esta actualização altera a configuração predefinida para o serviço Hora da rede (Network Time). A informação da hora e da versão do sistema já não estará disponível na configuração predefinida ntpd. Nos sistemas Mac OS X v10.4.11, a nova configuração entra em vigor após uma reiniciação do sistema quando o serviço Hora da rede (Network Time) é activado.

  • perl

    ID CVE: CVE-2008-1927

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: A utilização de expressões regulares que contenham caracteres UTF-8 poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

    Descrição: Existe um problema de corrupção de memória durante o manuseamento de determinados caracteres UTF-8 em expressões regulares. Analisar (efectuar o parsing) expressões regulares concebidas com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta actualização resolve o problema ao efectuar a validação adicional das expressões regulares.

  • Impressão

    ID CVE: CVE-2009-0017

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Um utilizador local pode obter privilégios de sistema

    Descrição: Existe um problema de processamento de erros no csregprinter, o que poderá fazer com que seja ultrapassado o limite do buffer da pilha. Isto poderá permitir que um utilizador local obtenha privilégios de sistema. Esta actualização soluciona o problema melhorando o processamento de erros. Os nossos agradecimentos a Lars Haulin por comunicar este problema.

  • python

    ID CVE: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Várias vulnerabilidades no python

    Descrição: Existem várias vulnerabilidades no python, das quais a mais grave pode provocar a execução de código arbitrário. Esta actualização resolve os problemas ao aplicar correcções (patches) do projecto python.

  • Eventos Apple Remotos

    ID CVE: CVE-2009-0018

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: O envio de eventos Apple remotos pode provocar a divulgação de informação sensível.

    Descrição: Existe um problema com um buffer não inicializado no servidor de eventos remotos Apple, o que poderá provocar a divulgação do conteúdo da memória a clientes na rede. Esta actualização resolve o problema através da inicialização correcta da memória. Agradecimentos: Apple.

  • Eventos Apple Remotos

    ID CVE: CVE-2009-0019

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: A activação de eventos Apple remotos poderá provocar o encerramento inesperado da aplicação ou a divulgação de informação sensível.

    Descrição: Existe um acesso à memória fora do limite nos eventos Apple remotos. A activação de eventos Apple remotos poderá provocar o encerramento inesperado da aplicação ou a divulgação de informação sensível a clientes na rede. Esta actualização corrige o problema através da verificação de limites melhorada. Agradecimentos: Apple.

  • Safari RSS

    ID CVE: CVE-2009-0137

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Aceder a um endereço de feed (feed: URL)concebido com intuito malicioso pode causar a execução de código arbitrário.

    Descrição: Existem múltiplos problemas com a validação de entradas durante o processamento de endereços de feed pelo Safari. Estes problemas permitem a execução de JavaScript arbitrário na zona de segurança local. Esta actualização corrige os problemas através de um processamento melhorado de JavaScript incorporado nos endereços de feed. Os nossos agradecimentos a Clint Ruoho da Laconic Security, Billy Rios da Microsoft e Brian Mastenbrook por comunicarem estes problemas.

  • servermgrd

    ID CVE: CVE-2009-0138

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Atacantes remotos poderão aceder ao Server Manager sem credenciais válidas.

    Descrição: Um problema na validação de credenciais de autenticação do Server Manager poderia permitir a um atacante remoto alterar a configuração do sistema. Esta actualização resolve o problema através da validação adicional das credenciais de autenticação. Este problema não afecta sistemas anteriores ao Mac OS X v10.5. Agradecimentos: Apple.

  • SMB

    ID CVE: CVE-2009-0139

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Estabelecer ligação a um sistema de ficheiros SMB concebido com intuito malicioso poderá provocar o encerramento inesperado do sistema ou a execução arbitrária de código com privilégios de sistema.

    Descrição: Uma ultrapassagem do limite máximo da memória em pilha (integer overflow) no sistema de ficheiros SMB pode fazer com que seja ultrapassado o limite do buffer da pilha. Estabelecer ligação a um sistema de ficheiros SMB concebido com intuito malicioso poderá provocar o encerramento inesperado do sistema ou a execução arbitrária de código com privilégios de sistema. Esta actualização corrige o problema através da verificação de limites melhorada. Este problema não afecta sistemas anteriores ao Mac OS X v10.5. Agradecimentos: Apple.

  • SMB

    ID CVE: CVE-2009-0140

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Estabelecer ligação a um servidor de ficheiros SMB concebido com intuito malicioso poderá provocar o encerramento inesperado do sistema.

    Descrição: Existe um problema de esgotamento da memória durante o processamento de nomes de sistemas de ficheiros pelo sistema de ficheiros SMB. Estabelecer ligação a um servidor de ficheiros SMB concebido com intuito malicioso poderá provocar o encerramento inesperado do sistema. Esta actualização corrige o problema através da limitação da quantidade de memória atribuída pelo cliente para os nomes de sistemas de ficheiros. Agradecimentos: Apple.

  • SquirrelMail

    ID CVE: CVE-2008-2379, CVE-2008-3663

    Disponível para: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Impacto: Várias vulnerabilidades no SquirrelMail

    Descrição: O SquirrelMail é actualizado para a versão 1.4.17 para resolver várias vulnerabilidades, das quais a mais grave poderia provocar um problema de execução de scripts entre sites. Estão disponíveis mais informações no site Web do SquirrelMail, em http://www.SquirrelMail.org/

  • X11

    ID CVE: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Várias vulnerabilidades no servidor X11

    Descrição: Existem Várias vulnerabilidades no servidor X11. A mais grave dessas vulnerabilidades poderá provocar a execução de código arbitrário com os privilégios do utilizador que executa o servidor X11, se o atacante conseguir autenticar para o servidor X11. Esta actualização corrige o problema através da aplicação das correcções (patches) actualizadas do X.Org. Estão disponíveis mais informações no site Web do X.Org em http://www.x.org/wiki/Development/Security

  • X11

    ID CVE: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impacto: Várias vulnerabilidades no FreeType v2.1.4

    Descrição: Existem várias vulnerabilidades no FreeType v2.1.4, das quais a mais grave pode levar à execução de código arbitrário durante o processamento de um tipo de letra concebido com intuito malicioso. Esta actualização soluciona o problema ao incorporar as correcções de segurança a partir da versão 2.3.6 do FreeType. Estão disponíveis mais informações através do site do FreeType em http://www.freetype.org/. Os problemas já foram corrigidos nos sistemas que executam Mac OS X v10.5.6.

  • X11

    ID CVE: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impacto: Várias vulnerabilidades no LibX11

    Descrição: Existem várias vulnerabilidades no LibX11, das quais a mais grave pode levar à execução de código arbitrário durante o processamento de um tipo de letra concebido com intuito malicioso. Esta actualização corrige o problema através da aplicação das correcções (patches) actualizadas do X.Org. Estão disponíveis mais informações através do site Web do X.Org, em http://www.x.org/wiki/Development/Security. Estes problemas não afectam os sistemas que executam o Mac OS X v10.5 ou posterior.

  • Xterm

    ID CVE: CVE-2009-0141

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: Um utilizador local pode enviar informações directamente para o Xterm de outro utilizador.

    Descrição: Existe um problema de permissões no Xterm. Quando utilizado com luit, o Xterm cria dispositivos tty acessíveis a todos. Esta actualização corrige o problema, fazendo com que o Xterm limite as permissões de modo que os dispositivos tty sejam acessíveis apenas pelo utilizador.

Important: Mention of third-party websites and products is for informational purposes only and constitutes neither an endorsement nor a recommendation. Apple assumes no responsibility with regard to the selection, performance or use of information or products found at third-party websites. Apple provides this only as a convenience to our users. Apple has not tested the information found on these sites and makes no representations regarding its accuracy or reliability. There are risks inherent in the use of any information or products found on the Internet, and Apple assumes no responsibility in this regard. Please understand that a third-party site is independent from Apple and that Apple has no control over the content on that website. Please contact the vendor for additional information.