Este documento descreve o conteúdo de segurança do OS X v10.7.2 e da Atualização de segurança 2011-006, que podem ser baixadas e instaladas por meio das preferências da Atualização de Software ou na página Downloads da Apple.
Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a chave PGP de Segurança do Produto Apple".
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".
OS X Lion v10.7.2 e Atualização de Segurança 2011-006
-
Apache
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: diversas vulnerabilidades no Apache
Descrição: o Apache foi atualizado para a versão 2.2.20 para solucionar diversas vulnerabilidades, sendo que a mais grave pode levar a uma negação de serviço. CVE-2011-0419 não afeta os sistemas OS X Lion. Obtenha mais informações no site do Apache em http://httpd.apache.org/
ID de CVE
CVE-2011-0419
CVE-2011-3192
-
Firewall do Aplicativo
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: executar um binário com uma nomeação criada com códigos maliciosos pode levar à execução arbitrária de códigos com privilégios elevados
Descrição: havia uma vulnerabilidade no formato da sequência durante o registro da depuração do Firewall do Aplicativo.
ID de CVE
CVE-2011-0185: um relator anônimo
-
ATS
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: a visualização ou download de um documento com uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de assinatura durante o processamento de fontes do Tipo 1 pela ATS. Esse problema não afeta sistemas anteriores ao OS X Lion.
ID de CVE
CVE-2011-3437
-
ATS
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: a visualização ou download de um documento com uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de acesso à memória fora dos limites durante durante o processamento de fontes do Tipo 1 pela ATS. Esse problema não afeta os sistemas OS X Lion.
ID de CVE
CVE-2011-0229: Will Dormann, da CERT/CC
-
ATS
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: os aplicativos que usam a API ATSFontDeactivate podem estar vulneráveis a um encerramento inesperado de aplicativo ou à execução arbitrária de códigos
Descrição: ocorria um estouro de buffer na API ATSFontDeactivate.
ID de CVE
CVE-2011-0230: Steven Michaud, do Mozilla
-
BIND
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: diversas vulnerabilidades no BIND 9.7.3
Descrição: vários problemas de negação de serviço ocorriam no BIND 9.7.3. Esses problemas foram resolvidos atualizando o BIND para a versão 9.7.3-P3.
ID de CVE
CVE-2011-1910
CVE-2011-2464
-
BIND
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: diversas vulnerabilidades no BIND
Descrição: havia problemas de negação de serviço no BIND. Esses problemas foram resolvidos atualizando o BIND para a versão 9.6-ESV-R4-P3.
ID de CVE
CVE-2009-4022
CVE-2010-0097
CVE-2010-3613
CVE-2010-3614
CVE-2011-1910
CVE-2011-2464
-
Política de confiabilidade dos certificados
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1.
Impacto: os certificados raiz foram atualizados
Descrição: diversos certificados autenticados foram adicionados à lista de raízes do sistema. Diversos certificados existentes foram atualizados para a versão mais recente. A lista completa de raízes de sistema reconhecidas pode ser vista no aplicativo Acesso às Chaves.
-
CFNetwork
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: o Safari pode armazenar cookies que normalmente não aceitaria
Descrição: um problema de sincronização ocorria durante o processamento das políticas de cookies da CFNetwork. As preferências de cookies do Safari podem não ser atendidas, permitindo que sites definam cookies que seriam bloqueados se a preferência fosse aplicada. Essa atualização soluciona o problema por meio de melhorias no processamento do armazenamento de cookies.
ID de CVE
CVE-2011-0231: Martin Tessarek; Steve Riggins, da Geeks R Us; Justin C. Walker e Stephen Creswell
-
CFNetwork
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: acessar um site criado com códigos maliciosos pode causar a divulgação de informações confidenciais.
Descrição: um problema ocorria durante o processamento de cookies HTTP pela CFNetwork. Ao acessar um URL HTTP ou HTTPS com códigos maliciosos, a CFNetwork poderia enviar incorretamente os cookies de um domínio para um servidor fora daquele domínio. Esse problema não afeta sistemas anteriores ao OS X Lion.
ID de CVE
CVE-2011-3246: Erling Ellingsen, do Facebook
-
CoreFoundation
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: a visualização de um site ou mensagem de e-mail criada com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos
Descrição: um problema de corrupção de memória ocorria durante o processamento da criação de tokens da sequência da CoreFoundation. Esse problema não afeta os sistemas OS X Lion. Essa atualização soluciona o problema por meio de melhorias na verificação de limites.
ID de CVE
CVE-2011-0259: Apple
-
CoreMedia
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: acessar um site criado com códigos maliciosos pode causar a divulgação de dados de vídeo de outro site
Descrição: havia um problema entre origens durante o processamento de redirecionamentos entre sites da CoreMedia. Esse problema foi solucionado pelas melhorias no rastreamento de origem.
ID de CVE
CVE-2011-0187: Nirankush Panchbhai e Microsoft Vulnerability Research (MSVR)
-
CoreMedia
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: diversos problemas de corrompimento de memória ocorriam no QuickTime durante o processamento de arquivos de filme. Esses problemas não afetam os sistemas OS X Lion.
ID de CVE
CVE-2011-0224: Apple
-
CoreProcesses
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: uma pessoa com acesso físico a um sistema pode driblar parcialmente o bloqueio da tela
Descrição: uma janela do sistema exibida enquanto a tela estava bloqueada, como um pedido de senha VPN, pode aceitar digitação enquanto a tela está bloqueada. Esse problema é solucionado ao evitar que as janelas do sistema solicitem a digitação enquanto a tela estiver bloqueada. Esse problema não afeta sistemas anteriores ao OS X Lion.
ID de CVE
CVE-2011-0260: Clint Tseng, da Universidade de Washington, Michael Kobb e Adam Kemp
-
CoreStorage
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: a conversão ao FileVault não apaga todos os dados existentes
Descrição: depois de ativar o FileVault, aproximadamente 250 MB no início do volume eram deixados sem criptografia no disco em uma área não utilizada. Apenas os dados que estavam presentes no volume antes da ativação do FileVault não eram criptografados. Isso foi solucionado apagando essa área ao ativar o FileVault e no primeiro uso de um volume criptografado afetado por esse problema. Esse problema não afeta sistemas anteriores ao OS X Lion.
ID de CVE
CVE-2011-3212: Judson Powers, da ATC-NY
-
Sistema de arquivos
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: um invasor com uma posição privilegiada na rede pode manipular os certificados do servidor HTTPS, levando à divulgação de informações confidenciais
Descrição: havia um problema durante o processamento de volumes WebDAV em servidores HTTPS. Se o servidor apresentasse uma cadeia de certificado que não pudesse ser verificada automaticamente, um aviso era exibido e a conexão era encerrada. Se o usuário clicasse no botão "Continuar" na caixa de diálogo de aviso, qualquer certificado seria aceito na próxima conexão àquele servidor. Um invasor em posição privilegiada na rede pode manipular a conexão para obter informações confidenciais ou agir no servidor em nome do usuário. Essa atualização soluciona o problema garantindo que a segunda conexão tenha o mesmo certificado da apresentada originalmente para o usuário.
ID de CVE
CVE-2011-3213: Apple
-
IOGraphics
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: uma pessoa com acesso físico pode ser capaz de driblar o bloqueio da tela
Descrição: havia um problema com o bloqueio da tela ao usar Apple Cinema Displays. Quando uma senha é exigida para despertar do repouso, uma pessoa com acesso físico pode acessar o sistema sem digitar a senha se o sistema estiver em modo de repouso de tela. Essa atualização soluciona o problema garantindo que o bloqueio da tela esteja ativado corretamente no modo de repouso de tela. Esse problema não afeta os sistemas OS X Lion.
ID de CVE
CVE-2011-3214: Apple
-
iChat Server
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: um invasor remoto pode fazer o servidor Jabber consumir recursos do sistema desproporcionalmente
Descrição: havia um problema no processamento de entidades externas XML no jabberd2, um servidor para o Protocolo de Presença e Mensagem Extensível (XMPP). O jabberd2 expandia as entidades externas em solicitações recebidas. Isso permitia que um invasor consumisse os recursos do sistema rapidamente, negando serviço a usuários legítimos do servidor. Essa atualização soluciona o problema desativando a expansão de entidade em solicitações recebidas.
ID de CVE
CVE-2011-1755
-
Kernel
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: uma pessoa com acesso físico pode ser capaz de acessar a senha do usuário
Descrição: um erro de lógica na proteção do DMA do kernel permitia acesso ao DMA do FireWire na janela de início de sessão, inicialização e desligamento, mas não no bloqueio da tela. Essa atualização soluciona o problema evitando o acesso ao DMA do FireWire em todos os estados em que o usuário não está conectado.
ID de CVE
CVE-2011-3215: Passware, Inc.
-
Kernel
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: um usuário sem privilégios pode ser capaz de apagar arquivos de outro usuário em um diretório compartilhado
Descrição: havia um erro de lógica no processamento de eliminação de arquivos pelo kernel em diretórios com o sticky bit.
ID de CVE
CVE-2011-3216: Gordon Davisson, da Crywolf; Linc Davis, R. Dormer, Allan Schmid e Oliver Jeckel, da brainworks Training
-
libsecurity
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: a visualização de um site ou mensagem de e-mail criada com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos
Descrição: um problema de processamento ocorria na análise de extensões de uma lista de revogação de certificados fora do padrão.
ID de CVE
CVE-2011-3227: Richard Godbee, da Virginia Tech
-
Mailman
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: diversas vulnerabilidades no Mailman 2.1.14
Descrição: havia vários problemas de script entre sites no Mailman 2.1.14. Esses problemas foram solucionados com a melhoria da codificação de caracteres na saída de HTML. Para obter mais informações, consulte o site do Mailman em http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html Esse problema não afeta os sistemas OS X Lion.
ID de CVE
CVE-2011-0707
-
MediaKit
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: a abertura de uma imagem de disco criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia diversos problemas de corrompimento de memória no processamento de imagens de disco. Esses problemas não afetam os sistemas OS X Lion.
ID de CVE
CVE-2011-3217: Apple
-
Open Directory
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: qualquer usuário pode ler os dados de senha do usuário local
Descrição: havia um problema de controle de acesso no Open Directory. Esse problema não afeta sistemas anteriores ao OS X Lion.
ID de CVE
CVE-2011-3435: Arek Dreyer, da Dreyer Network Consultants, Inc, e Patrick Dunstan, da defenseindepth.net
-
Open Directory
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: um usuário não autenticado pode alterar a senha da conta sem fornecer a senha atual
Descrição: havia um problema de controle de acesso no Open Directory. Esse problema não afeta sistemas anteriores ao OS X Lion.
ID de CVE
CVE-2011-3436: Patrick Dunstan, da defenceindepth.net
-
Open Directory
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: um usuário pode conseguir iniciar sessão sem usar uma senha
Descrição: quando o Open Directory está vinculado a um servidor LDAPv3 usando RFC2307 ou mapeamentos personalizados, como não haver atributo AuthenticationAuthority para um usuário, um usuário LDAP pode ter permissão para iniciar sessão sem usar uma senha. Esse problema não afeta sistemas anteriores ao OS X Lion.
ID de CVE
CVE-2011-3226: Jeffry Strunk, da Universidade do Texas, em Austin; Steven Eppler, da Universidade Colorado Mesa; e Hugh Cole-Baker e Frederic Metoz, do Institut de Biologie Structurale
-
PHP
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: a visualização de um arquivo PDF criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos
Descrição: havia um problema de assinatura durante o processamento de fontes Tipo 1 pelo FreeType. Esse problema foi corrigido pela atualização do FreeType para a versão 2.4.6. Esse problema não afeta os sistemas anteriores ao OS X Lion. Para obter mais informações, consulte o site do FreeType, em /http://www.freetype.org/
ID de CVE
CVE-2011-0226
-
PHP
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: diversas vulnerabilidades no libpng 1.4.3
Descrição: o libpng foi atualizado para a versão 1.5.4 para solucionar diversas vulnerabilidades. A mais grave delas pode causar a execução arbitrária de códigos. Mais informações estão disponíveis no site do libpng, em http://www.libpng.org/pub/png/libpng.html
ID de CVE
CVE-2011-2690
CVE-2011-2691
CVE-2011-2692
-
PHP
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: diversas vulnerabilidades no PHP 5.3.4
Descrição: o PHP foi atualizado para a versão 5.3.6 para solucionar diversas vulnerabilidades. A mais séria delas pode causar a execução arbitrária de códigos. Esses problemas não afetam os sistemas OS X Lion. Para obter mais informações, consulte o site do PHP em http://www.php.net/
ID de CVE
CVE-2010-3436
CVE-2010-4645
CVE-2011-0420
CVE-2011-0421
CVE-2011-0708
CVE-2011-1092
CVE-2011-1153
CVE-2011-1466
CVE-2011-1467
CVE-2011-1468
CVE-2011-1469
CVE-2011-1470
CVE-2011-1471
-
postfix
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: diversas vulnerabilidades no Postfix
Descrição: o Postfix foi atualizado para a versão 2.5.14 para solucionar diversas vulnerabilidades. A mais séria delas pode permitir que um invasor em uma posição privilegiada na rede manipule a sessão do Mail para obter informações confidenciais do tráfego criptografado. Esses problemas não devem afetar os sistemas OS X Lion. Mais informações estão disponíveis no site do Postfix em http://www.postfix.org/announcements/postfix-2.7.3.html
ID de CVE
CVE-2011-0411
CVE-2011-1720
-
python
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: diversas vulnerabilidades no python
Descrição: havia diversas vulnerabilidades no python. A mais séria delas pode levar à execução arbitrária de códigos. Essa atualização soluciona os problemas aplicando patches do projeto python. Para obter mais informações, consulte o site do python em http://www.python.org/download/releases/
ID de CVE
CVE-2010-1634
CVE-2010-2089
CVE-2011-1521
-
QuickTime
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: diversos problemas de corrompimento de memória ocorriam no QuickTime durante o processamento de arquivos de filme.
ID de CVE
CVE-2011-3228: Apple
-
QuickTime
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um estouro de buffer ocorria durante o processamento de átomos STSC em arquivos de filme do QuickTime. Esse problema não afeta os sistemas OS X Lion.
ID de CVE
CVE-2011-0249: Matt 'j00ru' Jurczyk, que trabalha com a Zero Day Initiative da TippingPoint
-
QuickTime
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um estouro de buffer ocorria durante o processamento de átomos STSS em arquivos de filme do QuickTime. Esse problema não afeta os sistemas OS X Lion.
ID de CVE
CVE-2011-0250: Matt 'j00ru' Jurczyk, que trabalha com a Zero Day Initiative da TippingPoint
-
QuickTime
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um estouro de buffer ocorria durante o processamento de átomos STSZ em arquivos de filme do QuickTime. Esse problema não afeta os sistemas OS X Lion.
ID de CVE
CVE-2011-0251: Matt 'j00ru' Jurczyk, que trabalha com a Zero Day Initiative da TippingPoint
-
QuickTime
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um estouro de buffer ocorria durante o processamento de átomos STTS em arquivos de filme do QuickTime. Esse problema não afeta os sistemas OS X Lion.
ID de CVE
CVE-2011-0252: Matt 'j00ru' Jurczyk, que trabalha com a Zero Day Initiative da TippingPoint
-
QuickTime
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: um invasor em posição privilegiada na rede pode injetar um script no domínio local durante a visualização de um modelo HTML
Descrição: havia um problema de uso de script entre sites na exportação "Salvar para a web" do QuickTime Player. Os arquivos de modelo HTML gerados por esse recurso faziam referência a um arquivo de script de origem não criptografada. Um invasor em posição privilegiada na rede pode injetar scripts maliciosos no domínio local se o usuário visualizar localmente um arquivo de modelo. Esse problema foi solucionado removendo a referência a um script online. Esse problema não afeta os sistemas OS X Lion.
ID de CVE
CVE-2011-3218: Aaron Sigel, da vtty.com
-
QuickTime
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um estouro de buffer ocorria durante o processamento de arquivos de filme com codificação H.264 pelo QuickTime.
ID de CVE
CVE-2011-3219: Damian Put, que trabalha na Zero Day Initiative da TippingPoint
-
QuickTime
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode levar à divulgação de conteúdo da memória
Descrição: havia um problema de acesso à memória não inicializada do QuickTime durante o processamento dos controles de dados de URL de arquivos de filme.
ID de CVE
CVE-2011-3220: Luigi Auriemma, que trabalha na Zero Day Initiative da TippingPoint
-
QuickTime
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia um problema de implementação no QuickTime durante o processamento da hierarquia de átomos em um arquivo de filme.
ID de CVE
CVE-2011-3221: um pesquisador anônimo que trabalha na Zero Day Initiative da TippingPoint
-
QuickTime
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: a visualização de um arquivo FlashPix criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um estouro de buffer ocorria durante o processamento de arquivos FlashPix pelo QuickTime.
ID de CVE
CVE-2011-3222: Damian Put, que trabalha na Zero Day Initiative da TippingPoint
-
QuickTime
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um estouro de buffer ocorria durante o processamento de arquivos FLIC pelo QuickTime.
ID de CVE
CVE-2011-3223: Matt 'j00ru' Jurczyk, que trabalha na Zero Day Initiative da TippingPoint
-
Servidor de arquivos SMB
Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: um usuário convidado pode navegar por pastas compartilhadas
Descrição: havia um problema de controle de acesso no Servidor de arquivos SMB. Não permitir o acesso de convidados a um registro de ponto de compartilhamento de uma pasta evita que o usuário '_unknown' navegue pelo ponto de compartilhamento, mas não os convidados (usuário 'nobody'). Esse problema foi solucionado aplicando o controle de acesso ao usuário convidado. Esse problema não afeta sistemas anteriores ao OS X Lion.
ID de CVE
CVE-2011-3225
-
Tomcat
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: diversas vulnerabilidades no Tomcat 6.0.24
Descrição: o Tomcat foi atualizado para a versão 6.0.32 para solucionar diversas vulnerabilidades. A mais grave delas pode levar a um ataque de scripts entre sites. O Tomcat está disponível somente em sistemas Mac OS X Server. Esse problema não afeta os sistemas OS X Lion. Para obter mais informações, consulte o site do Tomcat em http://tomcat.apache.org/
ID de CVE
CVE-2010-1157
CVE-2010-2227
CVE-2010-3718
CVE-2010-4172
CVE-2011-0013
CVE-2011-0534
-
Documentação do usuário
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: um invasor em posição privilegiada na rede pode manipular o conteúdo de ajuda da App Store, levando à execução de código arbitrário
Descrição: o conteúdo de ajuda da App Store foi atualizado por HTTP. Essa atualização soluciona o problema atualizando o conteúdo de ajuda da App Store por HTTPS. Esse problema não afeta os sistemas OS X Lion.
ID de CVE
CVE-2011-3224: Aaron Sigel, do vtty.com e Brian Mastenbrook
-
Servidor web
Disponível para: Mac OS X Server v10.6.8
Impacto: os clientes podem não ser capazes de acessar os serviços web que exigem autenticação digest
Descrição: um problema no processamento da autenticação HTTP Digest foi solucionado. Os usuários podem ter o acesso negado aos recursos do servidor quando a configuração do servidor tiver permitido o acesso. Esse problema não representa um risco de segurança e foi solucionado para facilitar o uso de mecanismos de autenticação mais seguros. Sistemas executando o OS X Lion Server não são afetados por esse problema.
-
X11
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1
Impacto: diversas vulnerabilidades no libpng
Descrição: havia diversas vulnerabilidades no libpng. A mais séria delas pode levar à execução arbitrária de códigos. Esses problemas são resolvidos atualizando o libpng para a versão 1.5.4 nos sistemas OS Lion e 1.2.46 nos sistemas Mac OS X 10.6. Mais informações estão disponíveis no site do libpng, em http://www.libpng.org/pub/png/libpng.html
ID de CVE
CVE-2011-2690
CVE-2011-2691
CVE-2011-2692