Esta atualização pode ser descarregada e instalada através das preferências da Actualização de software ou a partir das Descargas Apple.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple."
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
Mac OS X v10.6.8 e Actualização de Segurança 2011-004
AirPort
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: quando ligado por Wi-Fi, um atacante na mesma rede poderá conseguir provocar uma reposição do sistema
Descrição: existia um problema de leitura fora dos limites no processamento de frames Wi-Fi. Quando ligado por Wi-Fi, um atacante na mesma rede poderá conseguir provocar uma reposição do sistema. Este problema não afeta o Mac OS X v10.6
ID CVE
CVE-2011-0196
App Store
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: a palavra-passe do ID Apple do utilizador poderá estar ligada a um ficheiro local
Descrição: em determinadas circunstâncias, a App Store poderá ligar a palavra-passe do ID Apple do utilizador a um ficheiro que não pode ser lido por outros utilizadores do sistema. Este problema é resolvido através de um melhor processamento de credenciais.
ID CVE
CVE-2011-0197: Paul Nelson
ATS
Disponível para: Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: a visualização ou descarga de um documento que contenha um tipo de letra incorporado criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer da área dinâmica para dados no processamento de tipos de letra TrueType. Visualizar ou descarregar um documento que contenha um tipo de letra incorporado criado com intuito malicioso poderá provocar a execução de um código arbitrário.
ID CVE
CVE-2011-0198: Harry Sintonen, Marc Schoenefeld da Red Hat Security Response Team
Política de confiança de certificados
Disponível para: Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: um atacante com uma posição privilegiada na rede poderá intercetar credenciais de utilizador ou outras informações sensíveis
Descrição: existia um problema de processamento de erros na Política de confiança de certificados. Caso um certificado de validação ampliada (EV) não tenha um URL do OCSP (Protocolo do estado do certificado online) e a verificação CRL esteja ativada, a CRL não será verificada e um certificado revogado poderá ser aceite como válido. Este problema pode ser mitigado, uma vez que a maior parte dos certificados EV especifica um URL do OCSP.
ID CVE
CVE-2011-0199: Chris Hawk e Wan-Teh Chang da Google
ColorSync
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: visualizar uma imagem criada com intuito malicioso, com um perfil ColorSync incorporado poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de imagens com um perfil ColorSync incorporado, o que poderá provocar uma ultrapassagem do limite máximo do buffer da área dinâmica para dados. Abrir uma imagem criada com intuito malicioso, com um perfil ColorSync incorporado, poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2011-0200: binaryproof em colaboração com o programa Zero Day Initiative da TippingPoint
CoreFoundation
Disponível para: Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: as aplicações que utilizam a framework CoreFoundation poderão estar vulneráveis ao encerramento inesperado da aplicação ou à execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de off-by-one do buffer no processamento de CFStrings. As aplicações que utilizam a framework CoreFoundation poderão estar vulneráveis ao encerramento inesperado da aplicação ou à execução de um código arbitrário.
ID CVE
CVE-2011-0201: Harry Sintonen
CoreGraphics
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de tipos de letra Type 1. Visualizar ou descarregar um documento que contenha um tipo de letra incorporado criado com intuito malicioso poderá provocar a execução de um código arbitrário.
ID CVE
CVE-2011-0202: Cristian Draghici da Modulo Consulting, Felix Grobert da Equipa de segurança da Google
Servidor FTP
Disponível para: Mac OS X Server v10.6 a v10.6.7
Impacto: uma pessoa com acesso FTP poderá listar ficheiros no sistema
Descrição: existia um problema de validação dos caminhos no xftpd. Uma pessoa com acesso FTP poderá efetuar uma listagem recursiva do diretório começando na raiz, incluindo diretórios que não são partilhados por FTP. A listagem incluirá eventualmente ficheiros que estiverem acessíveis ao utilizador do FTP. Os conteúdos dos ficheiros não são divulgados. Este problema é resolvido através de uma validação melhorada do caminho. Este problema afeta apenas os sistemas com Mac OS X Server.
ID CVE
CVE-2011-0203: equipa karlkani
ImageIO
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: a visualização de uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer na área dinâmica para dados no processamento de imagens TIFF por parte do ImageIO. Visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2011-0204: Dominic Chell da NGS Secure
ImageIO
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer na área dinâmica para dados no processamento de imagens JPEG2000 por parte do ImageIO. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2011-0205: Harry Sintonen
Componentes internacionais para Unicode
Disponível para: Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: as aplicações que utilizam ICU poderão estar vulneráveis ao encerramento inesperado de uma aplicação ou à execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de cadeias maiúsculas por parte da ICU. As aplicações que utilizam ICU poderão estar vulneráveis ao encerramento inesperado da aplicação ou à execução de um código arbitrário.
ID CVE
CVE-2011-0206: David Bienvenu da Mozilla
Kernel
Disponível para: Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: um utilizador local poderá conseguir provocar uma reposição do sistema
Descrição: existia um problema de não referência nula no processamento das opções de socket de IPV6. Um utilizador local poderá conseguir provocar uma reposição do sistema.
ID CVE
CVE-2011-1132: Thomas Clement da Intego
Libsystem
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: as aplicações que utilizam a API glob(3) poderão estar vulneráveis a uma recusa de serviço
Descrição: as aplicações que utilizam a API glob(3) poderão estar vulneráveis a uma recusa de serviço. Caso o padrão glob provenha de uma entrada não fiável, a aplicação poderá ficar bloqueada ou utilizar recursos da CPU em excesso. Este problema poderá ser resolvido através de uma validação melhorada de padrões glob.
ID CVE
CVE-2010-2632: Maksymilian Arciemowicz
libxslt
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação de endereços na área dinâmica para dados
Descrição: a implementação, por parte do libxslt, da função generate-id() XPath divulgou o endereço de um buffer da área dinâmica para dados. Visitar um site criado com intuito malicioso poderá provocar a divulgação de endereços na área dinâmica para dados. Este problema é resolvido através da criação de um ID com base na diferença entre os endereços em dois buffers da área dinâmica para dados.
ID CVE
CVE-2011-0195: Chris Evans da Equipa de segurança do Google Chrome
MobileMe
Disponível para: Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: um atacante com uma posição de rede privilegiada poderá ler os alias de e-mail do MobileMe de um utilizador
Descrição: ao comunicar com o MobileMe para determinar um alias de e-mail de um utilizador, o Mail fará pedidos em HTTP. Consequentemente, um atacante com uma posição de rede privilegiada poderá ler os alias de e-mail do MobileMe de um utilizador. Este problema pode ser resolvido através da utilização de SSL para aceder aos alias de e-mail do utilizador.
ID CVE
CVE-2011-0207: Aaron Sigel da vtty.com
MySQL
Disponível para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 a v10.6.7
Impacto: várias vulnerabilidades no MySQL 5.0.91
Descrição: o MySQL foi atualizado para a versão 5.0.92 para corrigir várias vulnerabilidades, a mais grave das quais poderá provocar a execução de um código arbitrário. O MySQL apenas é fornecido com os sistemas Mac OS X Server.
ID CVE
CVE-2010-3677
CVE-2010-3682
CVE-2010-3833
CVE-2010-3834
CVE-2010-3835
CVE-2010-3836
CVE-2010-3837
CVE-2010-3838
OpenSSL
Disponível para: Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: várias vulnerabilidades no OpenSSL
Descrição: existiam várias vulnerabilidades no OpenSSL, a mais grave das quais poderá originar a execução de um código arbitrário. Estes problemas podem ser resolvidos através da atualização do OpenSSL para a versão 0.9.8r.
ID CVE
CVE-2009-3245
CVE-2010-0740
CVE-2010-3864
CVE-2010-4180
CVE-2011-0014
correção
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: executar um ficheiro de correção criado com intuito malicioso poderá provocar a criação ou substituição de ficheiros arbitrários
Descrição: existia um problema de diretório transversal na correção GNU. A execução de um ficheiro de correção criado com intuito malicioso poderá provocar a criação ou substituição de ficheiros arbitrários. O problema pode ser resolvido através de uma validação melhorada dos ficheiros de correção.
ID CVE
CVE-2010-4651
QuickLook
Disponível para: Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: a descarga de um ficheiro do Microsoft Office criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de ficheiros do Microsoft Office por parte do QuickLook. Descarregar um ficheiro do Microsoft Office criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema não afeta os sistemas anteriores ao Mac OS X v10.6.
ID CVE
CVE-2011-0208: Tobias Klein em colaboração com a iDefense VCP
QuickTime
Disponível para: Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: abrir um ficheiro WAV criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de ficheiros RIFF WAV por parte do QuickTime. Abrir um ficheiro WAV criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2011-0209: Luigi Auriemma em colaboração com o programa Zero Day Initiative da TippingPoint
QuickTime
Disponível para: Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de corrupção da memória no processamento de tabelas de amostras em ficheiros de filme por parte do QuickTime. Visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2011-0210: Honggang Ren do FortiGuard Labs da Fortinet
QuickTime
Disponível para: Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de ficheiros de filme por parte do QuickTime. Visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2011-0211: Luigi Auriemma em colaboração com o programa Zero Day Initiative da TippingPoint
QuickTime
Disponível para: Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: visualizar uma imagem PICT criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de imagens PICT por parte do QuickTime. Visualizar uma imagem PICT criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2010-3790: Subreption LLC em colaboração com o programa Zero Day Initiative da TippingPoint
QuickTime
Disponível para: Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: visualizar um ficheiro JPEG criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de ficheiros JPEG por parte do QuickTime. Visualizar um ficheiro JPEG criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2011-0213: Luigi Auriemma em colaboração com a iDefense
Samba
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: se a partilha de ficheiros SMB estiver ativada, um atacante remoto poderá provocar uma recusa de serviço ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer de pilha no processamento de ID de segurança do Windows por parte do Samba. Se a partilha de ficheiros SMB estiver ativada, um atacante remoto poderá provocar uma recusa de serviço ou a execução de um código arbitrário. Nos sistemas Mac OS X v10.6, este problema é resolvido no Mac OS X 10.6.7.
ID CVE
CVE-2010-3069
Samba
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: se a partilha de ficheiros SMB estiver ativada, um atacante remoto poderá provocar uma recusa de serviço ou a execução de um código arbitrário
Descrição: existia um problema de corrupção da memória no processamento de descritores de ficheiros por parte do Samba. Se a partilha de ficheiros SMB estiver ativada, um atacante remoto poderá provocar uma recusa de serviço ou a execução de um código arbitrário.
ID CVE
CVE-2011-0719: Volker Lendecke da SerNet
servermgrd
Disponível para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 a v10.6.7
Impacto: um atacante remoto poderá conseguir ler ficheiros arbitrários do sistema
Descrição: existe um problema de Entidade Externa XML no processamento de pedidos XML-RPC por parte do servermgrd. Este problema foi resolvido através da remoção da interface XML-RPC do servermgrd. Este problema afeta apenas os sistemas com Mac OS X Server.
ID CVE
CVE-2011-0212: Apple
subversion
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.7, Mac OS X Server v10.6 a v10.6.7
Impacto: caso esteja configurado um servidor do Subversion com base em http, um atacante remoto poderá conseguir provocar uma recusa de serviço
Descrição: existia um problema de não referência nula no processamento de tokens de bloqueio enviados através de HTTP por parte do Subversion. Caso esteja configurado um servidor do Subversion com base em http, um atacante remoto poderá conseguir provocar uma recusa de serviço. Nos sistemas Mac OS X v10.6, o Subversion é atualizado para a versão 1.6.6. Nos sistemas Mac OS X v10.5.8, o problema é corrigido através da validação adicional dos tokens de bloqueio. Estão disponíveis mais informações através do site do Subversion em http://subversion.apache.org/
ID CVE
CVE-2011-0715