Acerca da Atualização de segurança 2010-001

Este documento descreve a Atualização de segurança 2010-001, que pode ser descarregada e instalada através das preferências da Atualização de software ou a partir das Descargas da Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

Atualização de segurança 2010-001

  • CoreAudio

    ID CVE: CVE-2010-0036

    Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Impacto: reproduzir um ficheiro de áudio mp4 criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários

    Descrição: existe uma ultrapassagem do limite máximo do buffer no processamento de ficheiros de áudio mp4. Reproduzir um ficheiro de áudio mp4 criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários. Este problema foi resolvido através da verificação melhorada dos limites. Os nossos agradecimentos a Tobias Klein da trapkit.de por ter comunicado este problema.

  • CUPS

    ID CVE: CVE-2009-3553

    Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Impacto: um atacante remoto pode provocar o encerramento inesperado da aplicação do cupsd

    Descrição: existe um problema do tipo "use-after-free” no cupsd. Ao emitir um pedido get-printer-jobs criado com intuito malicioso, um atacante pode provocar uma recusa de serviço remota. Isso é mitigado através do reinício automático de cupsd após o seu encerramento. Este problema foi resolvido através do controlo de utilização de ligações melhorado.

  • Flash Player plug-in

    ID CVE: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Impacto: várias vulnerabilidades no plug-in do Adobe Flash Player

    Descrição: existem vários problemas no plug-in do Adobe Flash Player, sendo que o mais grave pode resultar na execução de códigos arbitrários quando visualizar um site criado com intuito malicioso. Os problemas foram resolvidos através da atualização do plug-in do Flash Player para a versão 10.0.42. Estão disponíveis mais informações através do site da Adobe em http://www.adobe.com/support/security/bulletins/apsb09-19.html Os nossos agradecimentos a um investigador anónimo e a Damian Put em colaboração com o programa Zero Day Initiative da TippingPoint, a Bing Liu da FortiGuard Global Security Research Team da Fortinet, a Will Dormann da CERT, a Manuel Caballero e à Microsoft Vulnerability Research (MSVR).

  • ImageIO

    ID CVE: CVE-2009-2285

    Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: ver uma imagem TIFF criada com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários

    Descrição: existe uma ultrapassagem do limite máximo do buffer no processamento de imagens TIFF por parte de ImageIO. Visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada dos limites. Nos sistemas Mac OS X v10.6, este problema é resolvido no Mac OS X v10.6.2.

  • Image RAW

    ID CVE: CVE-2010-0037

    Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Impacto: ver uma imagem DNG criada com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários

    Descrição: existe uma ultrapassagem do limite máximo do buffer no processamento de imagens DNG por parte de Image RAW. Ver uma imagem DNG criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários. Este problema foi resolvido através da verificação melhorada dos limites. Os nossos agradecimentos a Jason Carr dos Carnegie Mellon University Computing Services por ter comunicado este problema.

  • OpenSSL

    ID CVE: CVE-2009-3555

    Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Impacto: um atacante com uma posição de rede privilegiada pode capturar dados ou alterar as operações efetuadas em sessões protegidas por SSL

    Descrição: existe uma vulnerabilidade "man-in-the-middle" em protocolos SSL e TLS. Estão disponíveis mais informações em http://www.phonefactor.com/sslgap Está em curso uma alteração na renegociação do protocolo na IETF. Como medida de segurança preventiva, esta atualização desativa a renegociação no OpenSSL. O problema não afeta serviços que utilizem Secure Transport, uma vez que não suporta a renegociação. Os nossos agradecimentos a Steve Dispensa e a Marsh Ray da PhoneFactor, Inc. por terem comunicado este problema.

Importante: a menção de sites e de produtos de terceiros destina-se apenas a efeitos de informação, e não constitui uma recomendação nem aprovação. A Apple não assume qualquer responsabilidade relativamente à seleção, desempenho ou utilização de informações ou produtos encontrados em sites de terceiros. A Apple fornece estas informações apenas como comodidade para os nossos utilizadores. A Apple não testou as informações encontradas nestes sites e não garante a respetiva precisão ou fiabilidade. Existem riscos inerentes à utilização de quaisquer informações ou produtos encontrados na Internet e a Apple não assume qualquer responsabilidade a este respeito. Tenha em atenção que um site de terceiros é independente da Apple e que a Apple não tem controlo sobre os conteúdos do respetivo site. Contacte o fornecedor para obter mais informações.

Data de publicação: