Acerca da Atualização de segurança 2010-005

Este documento descreve a Atualização de segurança 2010-005.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

Atualização de segurança 2010-005

  • ATS

    CVE-ID: CVE-2010-1808

    Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impacto: ver ou descarregar um documento com um tipo de letra integrado criado com intuito malicioso pode provocar a execução de códigos arbitrários

    Descrição: existe uma ultrapassagem do limite máximo do buffer da pilha no processamento por parte do Apple Type Services de tipos de letra integrados. Ver ou descarregar um documento que contenha um tipo de letra integrado criado com intuito malicioso pode provocar a execução de códigos arbitrários. Este problema foi resolvido através da verificação melhorada dos limites.

  • CFNetwork

    CVE-ID: CVE-2010-1800

    Disponível para: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impacto: um atacante com uma posição privilegiada na rede pode intercetar as credenciais ou outros dados confidenciais de um utilizador

    Descrição: A rede CFNetwork permite ligações TLS/SSL anónimas. Esta situação pode permitir que um atacante man-in-the-middle redirecione as ligações e intercete as credenciais ou outros dados confidenciais de um utilizador. Este problema não afeta a aplicação Mail. Este problema foi resolvido através da desativação de ligações TLS/SSL anónimas. Este problema não afeta sistemas anteriores ao Mac OS X v10.6.3. Agradecemos a Aaron Sigel da vtty.com, Jean-Luc Giraud da Citrix, Tomas Bjurman da Sirius IT e Wan-Teh Chang da Google, Inc. por terem comunicado o problema.

  • ClamAV

    ID CVE-ID: CVE-2010-0098, CVE-2010-1311

    Disponível para: Mac OS X Server v10.5.8, Mac OS X Server v10.6.4

    Impacto: várias vulnerabilidades no ClamAV

    Descrição: existem várias vulnerabilidades no ClamAV, das quais a mais grave pode provocar a execução de código arbitrário. Esta atualização corrige os problemas através da atualização do ClamAV para a versão 0.96.1. O ClamAV é distribuído apenas com os sistemas Mac OS X Server. Estão disponíveis mais informações através do site do ClamAV, em http://www.clamav.net/

  • CoreAudio

    CVE-ID: CVE-2010-1801

    Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impacto: reproduzir um ficheiro PDF criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários

    Descrição: existe uma ultrapassagem do limite máximo do buffer no processamento de ficheiros PDF. Abrir um ficheiro PDF criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários. Este problema foi resolvido através da verificação melhorada dos limites. Agradecemos a Rodrigo Rubira Branco da Equipa da Check Point Vulnerability Discovery (VDT) por ter comunicado este problema.

  • libsecurity

    CVE-ID: CVE-2010-1802

    Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impacto: um atacante com uma posição privilegiada na rede, que pode obter um nome de domínio diferente do nome do domínio legítimo apenas pelos últimos caracteres no nome, pode fazer-se passar por anfitriões no respetivo domínio

    Descrição: existe um problema no processamento de nomes de anfitrião certificados. Os nomes de anfitrião com três ou mais componentes não terão os últimos caracteres devidamente comparados. Caso um nome contenha precisamente três componentes, apenas o último caracter não será verificado. Por exemplo, se um atacante com uma posição privilegiada na rede conseguir obter um certificado, como www.exemplo.com, pode fazer-se passar por www.exemplo.com. Este problema foi resolvido através do processamento melhorado dos nomes de anfitrião. Agradecemos a Peter Speck por ter comunicado este problema.

  • PHP

    CVE-ID: CVE-2010-1205

    Disponível para: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impacto: carregar uma imagem PNG criada com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários

    Descrição: existe uma ultrapassagem do limite máximo do buffer na biblioteca libpng (em PHP). Processar uma imagem TIFF criada com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da atualização de libpng (em PHP) para a versão 1.4.3. Este problema não afeta os sistemas anteriores a Mac OS X v10.6.

  • PHP

    ID : CVE-2008-, CVE-2008-, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

    Disponível para: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impacto: várias vulnerabilidades no PHP 5.2.5

    Descrição: o PHP é atualizado para a versão 5.2.6 com vista a corrigir diversas vulnerabilidades, a mais grave das quais pode provocar a execução de código arbitrário. Estão disponíveis mais informações no site do PHP em http://www.php.net/

  • Samba

    CVE-ID: CVE-2010-2063

    Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impacto: um atacante remoto sem identificação pode provocar uma recusa de serviço ou a execução de código arbitrário

    Descrição: existe uma ultrapassagem do limite máximo do buffer em Samba. Um atacante remoto sem identificação pode provocar uma recusa de serviço ou a execução de código arbitrário através do envio de pacotes criados com intuito malicioso. Este problema foi resolvido através de uma validação adicional aos pacotes em Samba.

Importante: a menção de sites e de produtos de terceiros destina-se apenas a efeitos de informação, e não constitui uma recomendação nem aprovação. A Apple não assume qualquer responsabilidade relativamente à seleção, desempenho ou utilização de informações ou produtos encontrados em sites de terceiros. A Apple fornece estas informações apenas como comodidade para os nossos utilizadores. A Apple não testou as informações encontradas nestes sites e não garante a respetiva precisão ou fiabilidade. Existem riscos inerentes à utilização de quaisquer informações ou produtos encontrados na Internet e a Apple não assume qualquer responsabilidade a este respeito. Tenha em atenção que um site de terceiros é independente da Apple e que a Apple não tem controlo sobre os conteúdos do respetivo site. Contacte o fornecedor para obter mais informações.

Data de publicação: