É possível baixar e instalar essa atualização por meio da Atualização de Software ou do site do Suporte da Apple.
Para garantir a proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.
Para saber informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte as Atualizações de segurança da Apple.
Nota: o OS X Mavericks 10.9.4 inclui o conteúdo de segurança do Safari 7.0.5.
OS X Mavericks 10.9.4 e Atualização de Segurança 2014-003
Política de confiabilidade dos certificados
Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 e OS X Mavericks 10.9 a 10.9.3
Impacto: atualização para a política de confiabilidade dos certificados
Descrição: a política de confiabilidade dos certificados foi atualizada. Veja a lista completa de certificados em https://support.apple.com/pt-br/HT6005.
copyfile
Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 e OS X Mavericks 10.9 a 10.9.3
Impacto: abrir um arquivo compactado criado com códigos maliciosos poderia causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia um problema de troca de byte fora dos limites no processamento de arquivos AppleDouble em arquivos compactados. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-1370: Chaitanya (SegFault) em parceria com o VCP da iDefense
curl
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um invasor remoto poderia obter acesso à sessão de outro usuário
Descrição: cURL reutilizava conexões NTLM quando mais de um método de autenticação estava ativado, permitindo que um invasor obtivesse acesso à sessão de outro usuário.
ID de CVE
CVE-2014-0015
Dock
Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 e OS X Mavericks 10.9 a 10.9.3
Impacto: um aplicativo em área restrita poderia contornar restrições da área restrita
Descrição: havia um problema de variável indexada não validada no processamento de mensagens de aplicativos feito pelo Dock. Uma mensagem criada com códigos maliciosos poderia causar o cancelamento de referência de um ponteiro de função inválida, o que poderia levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos.
ID de CVE
CVE-2014-1371: um pesquisador anônimo em parceria com a Zero Day Initiative da HP
Driver da placa gráfica
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: um usuário local consegue ler a memória de kernel, que pode ser usada para ignorar a randomização de layout do espaço de endereço do kernel
Descrição: havia um problema de leitura fora dos limite no processamento de uma chamada do sistema. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-1372: Ian Beer do Google Project Zero
Comércio de iBooks
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um invasor com acesso a um sistema poderia recuperar credenciais do ID Apple
Descrição: havia um problema no processamento de registros do iBooks. O processo do iBooks podia escrever as credenciais do ID Apple no registro do iBooks, que podia ser lido por outros usuários do sistema. O problema foi resolvido por meio da desativação do registro de credenciais.
ID de CVE
CVE-2014-1317: Steve Dunham
Driver da placa gráfica da Intel
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: um aplicativo malicioso poderia executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de validação no processamento de chamada da API OpenGL. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-1373: Ian Beer do Google Project Zero
Driver da placa gráfica da Intel
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um usuário local consegue ler um ponteiro de kernel, que pode ser usado para ignorar a randomização de layout do espaço de endereço do kernel
Descrição: um ponteiro de kernel armazenado em um objeto IOKit poderia ser recuperado do espaço do usuário. O problema foi resolvido por meio da remoção do ponteiro do objeto.
ID de CVE
CVE-2014-1375
Intel Compute
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: um aplicativo malicioso poderia executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de validação no processamento de uma chamada da API OpenCL. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-1376: Ian Beer do Google Project Zero
IOAcceleratorFamily
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: um aplicativo malicioso poderia executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de indexação de variável no IOAcceleratorFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-1377: Ian Beer do Google Project Zero
IOGraphicsFamily
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um usuário local consegue ler um ponteiro de kernel, que pode ser usado para ignorar a randomização de layout do espaço de endereço do kernel
Descrição: um ponteiro de kernel armazenado em um objeto IOKit poderia ser recuperado do espaço do usuário. O problema foi resolvido por meio do uso de um ID único, em vez de um ponteiro.
ID de CVE
CVE-2014-1378
IOReporting
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um usuário local poderia causar a reinicialização inesperada do sistema
Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de argumentos da API IOKit. Esse problema foi solucionado por outra validação de argumentos da API IOKit.
ID de CVE
CVE-2014-1355: cunzhang do Adlab da Venustech
launchd
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um aplicativo malicioso poderia executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de estouro negativo de inteiro no launchd. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-1359: Ian Beer do Google Project Zero
launchd
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um aplicativo malicioso poderia executar códigos arbitrários com privilégios de sistema
Descrição: havia um estouro de buffer de pilha no processamento de mensagens de IPC por parte do launchd. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-1356: Ian Beer do Google Project Zero
launchd
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um aplicativo malicioso poderia executar códigos arbitrários com privilégios de sistema
Descrição: havia um estouro de buffer de pilha no processamento de mensagens de registro por parte do launchd. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-1357: Ian Beer do Google Project Zero
launchd
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um aplicativo malicioso poderia executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de estouro de inteiro no launchd. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-1358: Ian Beer do Google Project Zero
Drivers de placas gráficas
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: um aplicativo malicioso poderia executar códigos arbitrários com privilégios de sistema
Descrição: havia vários problemas de cancelamento de referência de nulo nos drivers de placas gráficas de kernel. Um executável de 32 bits criado com códigos maliciosos poderia obter privilégios elevados.
ID de CVE
CVE-2014-1379: Ian Beer do Google Project Zero
Segurança – Chaves
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um invasor poderia digitar nas janelas protegidas pelo bloqueio de tela
Descrição: em circunstâncias raras, o bloqueio de tela não interceptava toques no teclado. Isso poderia permitir que um invasor digitasse nas janelas protegidas pelo bloqueio de tela. O problema foi resolvido por meio do gerenciamento aprimorado do observador de toques no teclado.
ID de CVE
CVE-2014-1380: Ben Langfeld da Mojo Lingo LLC
Segurança – Transporte seguro
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: dois bytes de memória poderiam ser divulgados para um invasor remoto
Descrição: havia um problema de acesso de memória não inicializada no processamento de mensagens DTLS em uma conexão TLS. O problema foi solucionado aceitando somente mensagens DTLS em uma conexão DTLS.
ID de CVE
CVE-2014-1361: Thijs Alkemade do The Adium Project
Thunderbolt
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um aplicativo malicioso poderia executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de acesso de memória fora dos limites no processamento de chamadas da API IOThunderBoltController. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-1381: Sarah, também conhecida como winocm
Entrada atualizada em 3 de fevereiro de 2020