Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.
Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple."
Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
Esta atualização pode ser descarregada e instalada através da Actualização de software ou a partir do site do Suporte Apple.
OS X Mavericks 10.9.2 e Atualização de segurança 2014-001
-
Apache
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: várias vulnerabilidades no Apache
Descrição: existiam várias vulnerabilidades no Apache, a mais grave das quais poderia originar a execução de scripts entre sites. Estes problemas foram resolvidos através da atualização do Apache para a versão 2.2.26.
ID CVE
CVE-2013-1862
CVE-2013-1896
-
App Sandbox
Disponível para: OS X Mountain Lion v10.8.5
Impacto: a App Sandbox poderá ser ignorada
Descrição: a interface dos LaunchServices para abrir uma aplicação permitia que as apps na sandbox especificassem a lista de argumentos transmitida ao novo processo. Uma aplicação comprometida da sandbox podia abusar desta ação para ignorar a sandbox. Este problema foi resolvido através da proibição de especificação de argumentos às aplicações na sandbox. Este problema não afeta sistemas com o OS X Mavericks 10.9 ou posterior.
ID CVE
CVE-2013-5179: Friedrich Graeter da The Soulmen GbR
-
ATS
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: visualizar ou descarregar um documento que contenha um tipo de letra incorporado criado com intuito malicioso poderá provocar a execução de código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de tipos de letra Type 1. Este problema foi resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2014-1254: Felix Groebert da Equipa de segurança da Google
-
ATS
Disponível para: OS X Mavericks 10.9 e 10.9.1
Impacto: a App Sandbox poderá ser ignorada
Descrição: existia um problema de corrupção de memória no processamento de mensagens Mach passadas para ATS. Este problema foi resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2014-1262: Meder Kydyraliev da Equipa de segurança da Google
-
ATS
Disponível para: OS X Mavericks 10.9 e 10.9.1
Impacto: a App Sandbox poderá ser ignorada
Descrição: existia um problema de gratuidade arbitrária no processamento de mensagens Mach passadas para ATS. Este problema foi resolvido através da validação adicional de mensagens Mach.
ID CVE
CVE-2014-1255: Meder Kydyraliev da Equipa de segurança da Google
-
ATS
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: a App Sandbox poderá ser ignorada
Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de mensagens Mach passadas para ATS. Este problema foi resolvido através da verificação adicional dos limites.
ID CVE
CVE-2014-1256: Meder Kydyraliev da Equipa de segurança da Google
-
Política de confiança de certificados
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: os certificados raiz foram atualizados
Descrição: o conjunto de certificados raiz do sistema foi atualizado. A lista completa de raízes do sistema reconhecidas pode ser consultada através da aplicação Acesso a porta-chaves.
-
Cookies da CFNetwork
Disponível para: OS X Mountain Lion v10.8.5
Impacto: os cookies da sessão podem continuar armazenados após a reposição do Safari
Descrição: repor o Safari não apagava sempre os cookies da sessão até que o Safari fosse fechado. Este problema foi resolvido através da melhoria do processamento dos cookies da sessão. Este problema não afeta sistemas com o OS X Mavericks 10.9 ou posterior.
ID CVE
CVE-2014-1257: Rob Ansaldo da Amherst College, Graham Bennett
-
CoreAnimation
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia na área dinâmica para dados no processamento de imagens por parte do CoreAnimation. Este problema foi resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2014-1258: Karl Smith do NCC Group
-
CoreText
Disponível para: OS X Mavericks 10.9 e 10.9.1
Impacto: as aplicações que utilizam CoreText poderão estar vulneráveis ao encerramento inesperado de uma aplicação ou à execução de código arbitrário
Descrição: existia um problema de signedness no CoreText, no processamento de tipos de letra Unicode. Este problema é resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2014-1261: Lucas Apa e Carlos Mario Penagos do IOActive Labs
-
curl
Disponível para: OS X Mavericks 10.9 e 10.9.1
Impacto: um atacante com uma posição privilegiada na rede poderá intercetar credenciais de utilizador ou outras informações sensíveis
Descrição: aquando da utilização de curl para ligar a um URL de HTTPS com um endereço IP, o mesmo não era validado consoante o certificado. Este problema não afeta os sistemas anteriores ao OS X Mavericks v10.9.
ID CVE
CVE-2014-1263: Roland Moriz da Moriz GmbH
-
Segurança de dados
Disponível para: OS X Mavericks 10.9 e 10.9.1
Impacto: um atacante com uma posição privilegiada na rede poderá capturar ou modificar dados em sessões protegidas por SSL/TLS
Descrição: o Transporte seguro não validava a autenticidade da ligação. Este problema foi resolvido através do restauro dos passos de validação em falta.
ID CVE
CVE-2014-1266
-
Data e hora
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: um utilizador sem privilégios poderá alterar o relógio do sistema
Descrição: esta atualização altera o comportamento do
systemsetup
comando para pedir privilégios de administrador para mudar o relógio do sistema.ID CVE
CVE-2014-1265
-
Marcador de ficheiros
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: visualizar um ficheiro com um nome criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento dos nomes de ficheiros. Este problema foi resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2014-1259
-
Finder
Disponível para: OS X Mavericks 10.9 e 10.9.1
Impacto: aceder ao ACL de um ficheiro através do Finder poderá fazer com que outros utilizadores obtenham acesso não autorizado aos ficheiros
Descrição: aceder ao ACL de um ficheiro através do Finder poderá corromper os ACL do ficheiro. Este problema foi resolvido através da melhoria no processamento de ACL.
ID CVE
CVE-2014-1264
-
ImageIO
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: visualizar um ficheiro JPEG criado com intuito malicioso poderá levar à divulgação dos conteúdos da memória
Descrição: existia um problema de acesso a memória não inicializada no processamento de marcadores JPEG por parte do libjpeg, o que resultava na divulgação dos conteúdos da memória. Este problema foi resolvido através do processamento melhorado de JPEG.
ID CVE
CVE-2013-6629: Michal Zalewski
-
IOSerialFamily
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5
Impacto: executar uma aplicação maliciosa poderá provocar a execução de código arbitrário no kernel
Descrição: existia uma matriz com acesso fora dos limites na unidade IOSerialFamily. Este problema foi resolvido através da verificação adicional dos limites. Este problema não afeta sistemas com o OS X Mavericks v10.9 ou posterior.
ID CVE
CVE-2013-5139: @dent1zt
-
LaunchServices
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5
Impacto: um ficheiro poderá apresentar a extensão errada
Descrição: existia um problema no processamento de determinados caracteres unicode, o que poderia permitir que os nomes dos ficheiros apresentassem extensões incorretas. Este problema foi resolvido através da filtragem de caracteres unicode não seguros, que deixaram de ser apresentados nos nomes dos ficheiros. Este problema não afeta sistemas com o OS X Mavericks v10.9 ou posterior.
ID CVE
CVE-2013-5178: Jesse Ruderman da Mozilla Corporation, Stephane Sudre da Intego
-
Controladores NVIDIA
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: executar uma aplicação maliciosa poderá provocar a execução de código arbitrário na placa gráfica
Descrição: existia um problema que permitia a escrita para alguma da memória fidedigna na placa gráfica. O problema foi resolvido através da remoção da capacidade do anfitrião de escrever nessa memória.
ID CVE
CVE-2013-5986: Marcin Kościelnicki do projeto da X.Org Foundation Nouveau
CVE-2013-5987: Marcin Kościelnicki do projeto da X.Org Foundation Nouveau
-
PHP
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: várias vulnerabilidades no PHP
Descrição: existiam várias vulnerabilidades no PHP, a mais grave das quais poderia provocar a execução de código arbitrário. Estes problemas foram resolvidos através da atualização do PHP para a versão 5.4.24, no OS X Mavericks v10.9, e para a versão 5.3.28, no OS X Lion e no Mountain Lion.
ID CVE
CVE-2013-4073
CVE-2013-4113
CVE-2013-4248
CVE-2013-6420
-
Vista rápida
Disponível para: OS X Mountain Lion v10.8.5
Impacto: descarregar um ficheiro do Microsoft Office criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de ficheiros do Microsoft Office por parte da Vista rápida. Descarregar um ficheiro do Microsoft Office malicioso poderá ter provocado o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema não afeta sistemas com o OS X Mavericks 10.9 ou posterior.
ID CVE
CVE-2014-1260: Felix Groebert da Equipa de segurança da Google
-
Vista rápida
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: descarregar um documento do Microsoft Word criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de libertação dupla no processamento de documentos do Microsoft Word por parte da Vista rápida. Este problema foi resolvido através da melhoria da gestão da memória.
ID CVE
CVE-2014-1252: Felix Groebert da Equipa de segurança da Google
-
QuickTime
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: reproduzir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de átomos "ftab". Este problema foi resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2014-1246: um investigador anónimo em colaboração com o programa Zero Day Initiative da HP
-
QuickTime
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: reproduzir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de átomos "dref". Este problema foi resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2014-1247: Tom Gallagher e Paul Bates em colaboração com o programa Zero Day Initiative da HP
-
QuickTime
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: reproduzir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de átomos "ldat". Este problema foi resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2014-1248: Jason Kratzer em colaboração com a iDefense VCP
-
QuickTime
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: visualizar uma imagem PSD criada com intuito malicioso poderá provocar o encerramento inesperado de aplicações ou a execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de imagens PSD. Este problema foi resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2014-1249: dragonltx da Equipa de segurança da Tencent
-
QuickTime
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: reproduzir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de troca de bytes fora dos limites no processamento de elementos "ttfo". Este problema foi resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2014-1250: Jason Kratzer em colaboração com a iDefense VCP
-
QuickTime
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: reproduzir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de assinatura no processamento de átomos "stsz". Este problema foi resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2014-1245: Tom Gallagher e Paul Bates em colaboração com o programa Zero Day Initiative da HP
-
Transporte seguro
Disponível para: OS X Mountain Lion v10.8.5
Impacto: um atacante poderá conseguir decifrar dados protegidos por SSL
Descrição: existiram ataques conhecidos à confidencialidade do SSL 3.0 e do TSL 1.0 quando uma conjunto de cifras utilizada uma cifra de bloqueio em modo CBC. Para resolver estes problemas em aplicações que utilizam o Transporte seguro, foi ativada por predefinição a mitigação do fragmento de 1 byte para esta configuração.
ID CVE
CVE-2011-3389: Juliano Rizzo e Thai Duong