Sobre o conteúdo de segurança do OS X Mountain Lion 10.8.5 e a Atualização de Segurança 2013-004

Este documento descreve o conteúdo de segurança do OS X Mountain Lion 10.8.5 e a Atualização de Segurança 2013-004.

Eles podem ser baixados e instalados por meio das preferências Atualização de Software ou em Downloads da Apple.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Versões de segurança da Apple.

OS X Mountain Lion 10.8.5 e a Atualização de Segurança 2013-004

  • Apache

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: diversas vulnerabilidades no Apache

    Descrição: havia diversas vulnerabilidades no Apache; a mais grave delas pode levar a scripts entre sites. Esses problemas foram resolvidos por meio da atualização do Apache para a versão 2.2.24.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: diversas vulnerabilidades no BIND

    Descrição: havia diversas vulnerabilidades no BIND; a mais grave delas podia levar à negação de serviço. Esses problemas foram resolvidos atualizando o BIND para a versão 9.8.5-P1. CVE-2012-5688 não afetou os sistemas Mac OS X 10.7.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: os certificados raiz foram atualizados

    Descrição: vários certificados foram adicionados ou removidos da lista de raízes do sistema. A lista completa de raízes de sistema reconhecidas pode ser visualizada no aplicativo Acesso às Chaves.

  • ClamAV

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

    Impacto: diversas vulnerabilidades no ClamAV

    Descrição: existem diversas vulnerabilidades no ClamAV; a mais grave delas pode levar à execução arbitrária de códigos. Esta atualização resolve os problemas atualizando o ClamAV para a versão 0.97.8.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Disponível para: OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: ver um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorria um estouro de buffer no processamento de dados codificados em JBIG2 em arquivos PDF. Esse problema foi resolvido por meio de uma verificação adicional de limites.

    CVE-ID

    CVE-2013-1025: Felix Groebert, da Google Security Team

  • ImageIO

    Disponível para: OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: ver um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorria um estouro de buffer no processamento de dados codificados JPEG2000 em arquivos PDF. Esse problema foi resolvido por meio de uma verificação adicional de limites.

    CVE-ID

    CVE-2013-1026: Felix Groebert, da Google Security Team

  • Installler

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: os pacotes poderiam ser abertos após a revogação do certificado

    Descrição: quando o instalador encontrava um certificado revogado, ele mostrava uma caixa de diálogo com uma opção para continuar. Esse problema foi resolvido com a remoção da caixa de diálogo e a recusa de qualquer pacote revogado.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: um invasor pode interceptar dados protegidos com IPSec Hybrid Auth

    Descrição: o nome DNS de um servidor IPSec Hybrid Auth não estava sendo correspondido no certificado, permitindo que um invasor com um certificado para qualquer servidor assumisse a personalidade de qualquer outro. Esse problema foi resolvido com a verificação adequada do certificado.

    CVE-ID

    CVE-2013-1028: Alexander Traud de www.traud.de

  • Kernel

    Disponível para: OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: um usuário de rede local pode causar uma negação de serviço

    Descrição: uma verificação incorreta no código de análise de pacotes IGMP no kernel permitiu que um usuário que conseguisse enviar pacotes IGMP ao sistema causasse um kernel panic. Esse problema foi resolvido com a remoção da verificação.

    CVE-ID

    CVE-2013-1029: Christopher Bohn, da PROTECTSTAR INC.

  • Mobile Device Management

    Impact: Passwords may be disclosed to other local users

    Description: A password was passed on the command-line to mdmclient, which made it visible to other users on the same system. The issue was addressed by communicating the password through a pipe.

    CVE-ID

    CVE-2013-1030 : Per Olofsson at the University of Gothenburg

  • OpenSSL

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: diversas vulnerabilidades no OpenSSL

    Descrição: havia diversas vulnerabilidades no OpenSSL; a mais grave delas podia levar à divulgação de dados do usuário. Esses problemas foram resolvidos com a atualização do OpenSSL para a versão 0.9.8y.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: diversas vulnerabilidades no PHP

    Descrição: existiam diversas vulnerabilidades no PHP; a mais grave delas podia levar à execução arbitrária de códigos. Esses problemas foram resolvidos por meio da atualização do PHP para a versão 5.3.26.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: diversas vulnerabilidades no PostgreSQL

    Descrição: existem diversas vulnerabilidades no PostgreSQL; a mais grave delas pode levar à corrupção de dados ou ao escalonamento de privilégios. CVE-2013-1901 não afeta os sistemas OS X Lion. Esta atualização resolve os problemas com a atualização do PostgreSQL para a versão 9.1.9 em sistemas OS X Mountain Lion e a versão 9.0.4 em sistemas OS X Lion.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    Disponível para: OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: a proteção de tela pode não iniciar após o período especificado

    Descrição: existia um problema de bloqueio de asserção de energia. Esse problema foi resolvido por meio de melhorias no processamento de bloqueios.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: ver um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de átomos "idsc" em arquivos de filmes do QuickTime. Esse problema foi resolvido por meio de uma verificação adicional de limites.

    CVE-ID

    CVE-2013-1032: Jason Kratzer, em parceria com a iDefense VCP

  • Screen Lock

    Disponível para: OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: um usuário com acesso de compartilhamento de tela pode conseguir ignorar o bloqueio de tela quando outro usuário está com a sessão iniciada

    Descrição: havia um problema de gerenciamento de sessão no processamento do bloqueio de tela em sessões de compartilhamento de tela. Esse problema foi resolvido por meio de melhorias no rastreamentos de estados.

    CVE-ID

    CVE-2013-1033: Jeff Grisso, da Atos IT Solutions, Sébastien Stormacq

  • sudo

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4

    Impacto: um invasor com controle de uma conta de usuário administrador pode obter privilégios raiz sem saber a senha do usuário

    Descrição: ao definir o relógio do sistema, um invasor pode usar o sudo para obter privilégios raiz em sistemas em que o sudo havia sido usado anteriormente. No OS X, apenas usuários administradores podem alterar o relógio do sistema. Esse problema foi resolvido com a verificação de uma marcação de data/hora inválida.

    CVE-ID

    CVE-2013-1775

  • Nota: o OS X Mountain Lion 10.8.5 também resolve um problema em que determinadas strings Unicode podem causar o encerramento inesperado de aplicativos.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: