Sobre o conteúdo de segurança do OS X Yosemite 10.10.2 e da Atualização de Segurança 2015-001

Este documento descreve o conteúdo de segurança do OS X Yosemite 10.10.2 e da Atualização de Segurança 2015-001

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Atualizações de segurança da Apple.

OS X Yosemite 10.10.2 e Atualização de Segurança 2015-001

  • AFP Server

    Disponível para: OS X Mavericks 10.9.5

    Impacto: Um invasor remoto pode ser capaz de determinar todos os endereços de rede do sistema

    Descrição: O servidor de arquivos AFP era compatível com um comando que retornava todos os endereços de rede do sistema. Esse problema foi resolvido removendo os endereços do resultado.

    ID de CVE

    CVE-2014-4426: Craig Young da Tripwire VERT

  • bash

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impact:o Várias vulnerabilidades no bash, incluindo uma que pode permitir que invasores locais executem código arbitrário

    Descrição: Havia várias vulnerabilidades no bash. Esses problemas foram resolvidos pela atualização do bash versão para o nível de patch 57.

    ID de CVE

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impacto: Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios do sistema

    Descrição: Havia um erro de assinatura inteira no IOBluetoothFamily que permitia a manipulação da memória do kernel. Esse problema foi solucionado por meio de melhorias na verificação de limites. Esse problema não afeta sistemas OS X Yosemite.

    ID de CVE

    CVE-2014-4497

  • Bluetooth

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: Havia um erro no driver Bluetooth que permitia que um aplicativo malicioso controlasse o tamanho de uma gravação na memória do kernel. Esse problema foi resolvido por meio de validação adicional de entradas.

    ID de CVE

    CVE-2014-8836: Ian Beer do Google Project Zero

  • Bluetooth

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: Havia vários problemas de segurança no driver Bluetooth, permitindo que um aplicativo malicioso execute código arbitrário com privilégios do sistema. Esses problemas foram resolvidos por meio de validação adicional de entradas.

    ID de CVE

    CVE-2014-8837: Roberto Paleari e Aristide Fattori da Emaze Networks

  • CFNetwork Cache

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: O cache do site pode não ser totalmente limpo depois de sair da navegação privada

    Descrição: Havia um problema de privacidade em que os dados de navegação poderiam permanecer no cache depois de sair da navegação privada. Esse problema foi resolvido por meio de uma mudança no comportamento de cache.

    ID de CVE

    CVE-2014-4460

  • CoreGraphics

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um arquivo PDF criado com códigos maliciosos pode levar a um término inesperado do aplicativo ou execução arbitrário de código

    Descrição: Havia um estouro de inteiro no manuseio de arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano, da Binamuse VRT, por meio do Programa iSIGHT Partners GVP

  • CPU Software

    Disponível para: OS X Yosemite 10.10 e 10.10.1, para: MacBook Pro Retina, MacBook Air (Meados de 2013 e posterior), iMac (Final de 2013 e posterior), Mac Pro (Final de 2013)

    Impacto: Um dispositivo Thunderbolt malicioso pode afetar o flash do firmware

    Descrição: Os dispositivos Thunderbolt podem modificar o firmware do host se conectados durante uma atualização EFI. Esse problema foi resolvido ao não carregar ROMs de opção durante atualizações.

    ID de CVE

    CVE-2014-4498: Trammell Hudson da Two Sigma Investments

  • CommerceKit Framework

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: Um invasor com acesso a um sistema pode ser capaz de recuperar credenciais do ID Apple

    Descrição: Existia um problema no processamento dos registros da App Store. O processo da App Store poderia registrar as credenciais do ID Apple no registro quando o registro adicional foi ativado. O problema foi resolvido por meio da desativação do registro de credenciais.

    ID de CVE

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: Alguns aplicativos de terceiros com entrada de texto não segura e eventos do mouse podem registrar esses eventos

    Descrição: Devido à combinação de uma variável não inicializada e o alocador personalizado de um aplicativo, a entrada de texto não segura e os eventos do mouse podem ter sido registrados. Esse problema foi resolvido garantindo que o registro esteja desativado por padrão. Esse problema não afeta sistemas anteriores ao OS X Yosemite.

    ID de CVE

    CVE-2014-1595: Steven Michaud da Mozilla em parceria com Kent Howard

  • CoreGraphics

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impacto: Abrir um arquivo PDF criado com códigos maliciosos pode levar a um encerramento inesperado do aplicativo ou execução de código arbitrário

    Descrição: Havia um problema de corrupção de memória no processamento de arquivos PDF. Esse problema foi solucionado através de melhorias na verificação de limites. Esse problema não afeta sistemas OS X Yosemite.

    ID de CVE

    CVE-2014-8816: Mike Myers, da Digital Operatives LLC

  • CoreSymbolication

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um usuário local pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: Havia um problema de confusão de tipo no processamento de strings localizadas pelo LaunchServices. Esses problemas foram resolvidos por meio de melhorias na verificação de tipo.

    ID de CVE

    CVE-2014-8817: Ian Beer do Google Project Zero

  • FontParser

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: O processamento de um arquivo .dfont criado com códigos maliciosos pode levar à execução de código arbitrário ou encerramento inesperado do aplicativo

    Descrição: Havia um problema de corrupção de memória no processamento de arquivos .dfont. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah, em parceria com a Zero Day Initiative da HP

  • FontParser

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Abrir um arquivo iWork criado com códigos maliciosos pode levar à execução de código arbitrário ou encerramento inesperado do aplicativo

    Descrição: Havia um problema de corrupção de memória no processamento de arquivos iWork. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4483: Apple

  • Foundation

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: A visualização de um arquivo XML criado com códigos maliciosos pode levar a um término inesperado do aplicativo ou execução de código arbitrário

    Descrição: Havia um estouro de buffer no analisador XML. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4485: Apple

  • Intel Graphics Driver

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Várias vulnerabilidades no driver gráfico Intel

    Descrição: Existiam várias vulnerabilidades no driver gráfico Intel, a mais séria das quais pode ter levado à execução de código arbitrário com privilégios do sistema. Essa atualização resolve os problemas por meio de verificações de limites adicionais.

    ID de CVE

    CVE-2014-8819: Ian Beer do Google Project Zero

    CVE-2014-8820: Ian Beer do Google Project Zero

    CVE-2014-8821: Ian Beer do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 and 10.10.1

    Impacto: Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: Existia um cancelamento de referência de ponteiro nulo no processamento do IOAcceleratorFamily de certos tipos de cliente de usuário IOService. Esse problema foi resolvido por meio de melhorias na validação de contextos do IOAcceleratorFamily.

    ID de CVE

    CVE-2014-4486: Ian Beer do Google Project Zero

  • IOHIDFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um usuário local pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: Havia um problema de estouro de buffer no IOHIDFamily. Esse problema foi resolvido por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um usuário local pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: Havia um problema de confusão de tipo no processamento de strings localizadas pelo LaunchServices. O problema foi resolvido por meio de melhorias na validação de metadados.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: Havia um cancelamento de referência de ponteiro nulo no processamento de propriedades de mapeamento de chaves pelo IOHIDFamily. O problema foi resolvido por meio de melhorias na validação da inicialização de fila de evento IOHIDFamily.

    CVE-ID

    CVE-2014-4489: @beist

  • IOHIDFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: A execução de um aplicativo malicioso pode resultar na execução de código arbitrário dentro do kernel

    Descrição: Existia um problema de verificação de limites em um cliente usuário vendido pelo driver IOHIDFamily que permitiu que um aplicativo malicioso substituísse partes arbitrárias do espaço de endereços do kernel. O problema foi resolvido removendo o método de cliente do usuário vulnerável.

    ID de CVE

    CVE-2014-8822: Vitaliy Toropov , em parceria com a Zero Day Initiative da HP

  • IOKit

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: Havia um estouro de inteiro no processamento de funções IOKit. O problema foi resolvido por meio de melhorias na validação de argumentos da API IOKit.

    ID de CVE

    CVE-2014-4389: Ian Beer, do Google Project Zero

  • IOUSBFamily

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: Um aplicativo privilegiado pode ser capaz de ler dados arbitrários da memória do kernel

    Descrição: Havia um problema de acesso à memória no processamento das funções do cliente do usuário do controlador IOUSB. Esse problema foi resolvido por meio de melhorias na validação de argumentos.

    ID de CVE

    CVE-2014-8823: Ian Beer, do Google Project Zero

  • Kerberos

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: A biblioteca libgssapi Kerberos retornou um token de contexto com um ponteiro pendente. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

    ID de CVE

    CVE-2014-5352

  • Kernel

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: Especificar um modo de cache personalizado permitia a gravação em segmentos de memória compartilhada somente leitura do kernel. Esse problema foi resolvido ao não conceder permissões de gravação como efeito colateral de alguns modos de cache personalizados.

    CVE-ID

    CVE-2014-4495: Ian Be, do Google Project Zero

  • Kernel

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: Existia um problema de validação no processamento de certos campos de metadados de objetos IODataQueue. O problema foi resolvido por meio de melhorias na validação de metadados.

    ID de CVE

    CVE-2014-8824: @PanguTeam

  • Kernel

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: Um invasor local pode falsificar respostas do serviço de diretório para o kernel, elevar privilégios ou obter a execução do kernel

    Descrição: Havia problemas na validação de identitysvc do processo de resolução de serviço de diretório, processamento de sinalizadores e manuseio de erros. Esse problema foi resolvido por meio de melhorias na validação.

    ID de CVE

    CVE-2014-8825: Alex Radocea da CrowdStrike

  • Kernel

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: Um usuário local pode ser capaz de determinar o layout da memória do kernel

    Descrição: Havia vários problemas de memória não inicializada na interface de estatísticas de rede, o que levou à divulgação do conteúdo da memória do kernel. O problema foi resolvido por meio de uma inicialização adicional da memória.

    ID de CVE

    CVE-2014-4371: Fermin J. Serna da Equipe de Segurança do Google

    CVE-2014-4419: Fermin J. Serna da Equipe de Segurança do Google

    CVE-2014-4420: Fermin J. Serna da Equipe de Segurança do Google

    CVE-2014-4421: Fermin J. Serna da Equipe de Segurança do Google

  • Kernel

    Disponível para: OS X Mavericks 10.9.5

    Impacto: Uma pessoa com uma posição de rede privilegiada pode causar uma negação de serviço

    Descrição: Havia um problema de condição de corrida no processamento de pacotes IPv6. O problema foi resolvido por meio de melhorias na verificação de estado bloqueado.

    ID de CVE

    CVE-2011-2391

  • Kernel

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Aplicativos criados maliciosamente ou comprometidos podem ser capazes de determinar endereços no kernel

    Descrição: Havia um problema de divulgação de informações no processamento de APIs relacionadas a extensões de kernel. Respostas com uma chave OSBundleMachOHeaders podem ter incluído endereços kernel, que podem auxiliar a ignorar a proteção de randomização de layout do espaço de endereço. Esse problema foi resolvido pelo cancelamento do deslocamento dos endereços antes de retorná-los.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: Havia um problema de validação no processamento de certos campos de metadados de objetos IOSharedDataQueue. Esse problema foi resolvido através da realocação dos metadados.

    ID de CVE

    CVE-2014-4461: @PanguTeam

  • LaunchServices

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um arquivo JAR malicioso pode ignorar as verificações do Gatekeeper

    Descrição: Havia um problema no processamento de lançamentos de aplicativos que permitia que certos arquivos JAR maliciosos ignorassem as verificações do Gatekeeper. Esse problema foi resolvido por meio de um melhor processamento de metadados de tipo de arquivo.

    ID de CVE

    CVE-2014-8826: Hernan Ochoa da Amplia Security

  • libnetcore

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um aplicativo malicioso e em sandbox pode comprometer o daemon networkd

    Descrição: Havia vários problemas de confusão de tipo no processamento da comunicação interprocessual pela rede. Ao enviar uma mensagem formatada com códigos maliciosos para o networkd, era possível executar códigos arbitrários como o processo networkd. Esse problema foi resolvido por meio de verificações adicionais dos tipos.

    CVE-ID

    CVE-2014-4492: Ian Be, do Google Project Zero

  • LoginWindow

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um Mac pode não bloquear imediatamente após o despertar

    Descrição: Havia um problema na renderização da tela de bloqueio. Esse problema foi resolvido por meio de uma renderização aprimorada da tela enquanto bloqueada.

    ID de CVE

    CVE-2014-8827: Xavier Bertels da Mono e vários testadores de versões Seed do OS X

  • lukemftp

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Usar a ferramenta ftp de linha de comando para buscar arquivos de um servidor http malicioso pode levar à execução de código arbitrário

    Descrição: Havia um problema de injeção de comandos no processamento de redirecionamentos HTTP. Esse problema foi resolvido por meio de melhorias na validação de caracteres especiais.

    ID de CVE

    CVE-2014-8517

  • ntpd

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Usar o daemon ntp com autenticação criptográfica ativada pode levar a vazamentos de informações

    Descrição: Havia vários problemas de validação de entrada no ntpd. Esses problemas foram resolvidos por meio de melhorias na validação de dados.

    ID de CVE

    CVE-2014-9297

  • OpenSSL

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Várias vulnerabilidades no OpenSSL 0.9.8za, incluindo uma que pode permitir que um invasor faça downgrade de conexões para usar conjuntos de cifras mais fracos em aplicativos que usam a biblioteca

    Descrição: Havia várias vulnerabilidades no OpenSSL 0.9.8za. Esses problemas foram resolvidos com a atualização do OpenSSL para a versão 0.9.8zc.

    ID de CVE

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandbox

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impacto: Um processo em sandbox pode ser capaz de contornar as restrições da sandbox

    Descrição: Havia um problema de design no cache de perfis de sandbox que permitia que aplicativos em sandbox obtivessem acesso de gravação ao cache. Esse problema foi resolvido restringindo o acesso de gravação a caminhos contendo um segmento “com.apple.sandbox”. Este problema não afeta o OS X Yosemite 10.10 ou posterior.

    ID de CVE

    CVE-2014-8828: Apple

  • SceneKit

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impacto: Um aplicativo malicioso pode executar código arbitrário, levando ao comprometimento das informações do usuário

    Descrição: Havia vários problemas de gravação fora dos limites no SceneKit. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-8829: Jose Duart da Equipe de Segurança do Google

  • SceneKit

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Visualizar um arquivo Collada criado com códigos maliciosos pode levar a um término inesperado do aplicativo ou execução de código arbitrário

    Descrição: Havia um estouro de buffer de pilha no processamento de arquivos Collada pelo SceneKit. A visualização de arquivo Collada criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários. O problema foi resolvido por meio de melhorias na validação de elementos do assessor.

    ID de CVE

    CVE-2014-8830: Jose Duart da Equipe de Segurança do Google

  • Security

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um aplicativo baixado assinado com um certificado de ID de desenvolvedor revogado pode passar nas verificações do Gatekeeper

    Descrição: Havia um problema em relação à forma como as informações do certificado de aplicativo em cache eram avaliadas. Esse problema foi resolvido com melhorias na lógica do cache.

    ID de CVE

    CVE-2014-8838: Apple

  • security_taskgate

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um aplicativo pode acessar itens de chaves pertencentes a outros aplicativos

    Descrição: Havia um problema de controle de acesso no Keychain. Aplicativos assinados com certificados autoassinados ou de ID de Desenvolvedor poderiam acessar itens de chaves cujas listas de controle de acesso eram baseadas em grupos de chaves. Esse problema foi resolvido validando a identidade de assinatura ao conceder acesso a grupos de chaves.

    ID de CVE

    CVE-2014-8831: Apple

  • Spotlight

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: O remetente de um e-mail pode determinar o endereço IP do destinatário

    Descrição: O Spotlight não verificou o status da configuração "Carregar conteúdo remoto em mensagens" do Mail. Esse problema foi resolvido por meio de melhorias na verificação da configuração.

    ID de CVE

    CVE-2014-8839: John Whitehead do New York Times, Frode Moe do LastFriday.no

  • Spotlight

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: O Spotlight pode salvar informações inesperadas em um disco rígido externo

    Descrição: Havia um problema no Spotlight em que o conteúdo da memória pode ter sido gravado em discos rígidos externos durante a indexação. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2014-8832: F-Secure

  • SpotlightIndex

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: O Spotlight pode exibir resultados para arquivos que não pertencem ao usuário

    Descrição: Havia um problema de desserialização no processamento de caches de permissão do Spotlight. Um usuário que realiza uma consulta do Spotlight pode ter visto resultados de pesquisa mencionando arquivos para os quais não tem privilégios suficientes para ler. Esse problema foi resolvido por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-8833: David J Peacock, Consultor independente de tecnologia

  • sysmond

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de root

    Descrição: Havia uma vulnerabilidade de confusão de tipo no sysmond que permitia que um aplicativo local escalonasse privilégios. O problema foi resolvido por meio de melhorias na verificação de tipo.

    ID de CVE

    CVE-2014-8835: Ian Beer, do Google Project Zero

  • UserAccountUpdater

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: Arquivos de preferências relacionados à impressão podem conter informações confidenciais sobre documentos PDF

    Descrição: O OS X Yosemite 10.10 resolveu um problema no processamento de arquivos PDF protegidos por senha criados a partir da caixa de diálogo Imprimir, onde as senhas podem ter sido incluídas nos arquivos de preferência de impressão. Essa atualização remove essas informações estranhas que podem estar presentes nos arquivos de preferência de impressão.

    ID de CVE

    CVE-2014-8834: Apple

Nota: o OS X Yosemite 10.10.2 inclui o conteúdo de segurança do Safari 8.0.3.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: