Sobre o conteúdo de segurança do OS X Mavericks 10.9.2 e a Atualização de Segurança 2014-001

Este documento descreve o conteúdo de segurança do OS X Mavericks 10.9.2 e a Atualização de Segurança 2014-001.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".

Esta atualização pode ser transferida e instalada usando a Atualização de Software ou do site de Suporte da Apple.

OS X Mavericks 10.9.2 e Atualização de Segurança 2014-001

  • Apache

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: diversas vulnerabilidades no Apache

    Descrição: havia diversas vulnerabilidades no Apache, dentre as quais a mais grave podia causar a execução de scripts entre sites. Esses problemas foram resolvidos atualizando o Apache para o versão 2.2.26.

    ID de CVE

    CVE-2013-1862

    CVE-2013-1896

  • Área restrita de aplicativo

    Disponível para: OS X Mountain Lion 10.8.5

    Impacto: a Área restrita de aplicativo pode ser ignorada

    Descrição: a interface LaunchServices para inicialização de um aplicativo permitia que apps em área de segurança especificassem a lista de argumentos a serem passados para o novo processo. Um aplicativo em área de segurança comprometido podia abusar disso para ignorar a área de segurança. Esse problema foi tratado impedindo que aplicativos em área de segurança especifiquem argumentos. Esse problema não afeta sistemas que executam o OS X Mavericks 10.9 ou posterior.

    ID de CVE

    CVE-2013-5179 : Friedrich Graeter da The Soulmen GbR

  • ATS

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: a visualização ou a transferência de um documento que contém uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória durante o processamento das fontes Tipo 1. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1254: Felix Groebert da Equipe de Segurança do Google

  • ATS

    Disponível para: OS X Mavericks 10.9 e 10.9.1

    Impacto: a Área restrita de aplicativo pode ser ignorada

    Descrição: havia um problema de corrupção de memória no processamento de mensagens Mach transmitidas para ATS. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1262: Meder Kydyraliev da Equipe de Segurança do Google

  • ATS

    Disponível para: OS X Mavericks 10.9 e 10.9.1

    Impacto: a Área restrita de aplicativo pode ser ignorada

    Descrição: havia um problema arbitrário no processamento de mensagens Mach transmitidas para ATS. Esse problema foi resolvido através de validação adicional de mensagens Mach.

    ID de CVE

    CVE-2014-1255: Meder Kydyraliev da Equipe de Segurança do Google

  • ATS

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: a Área restrita de aplicativo pode ser ignorada

    Descrição: havia um problema de estouro de buffer no processamento de mensagens Mach transmitidas para ATS. Esse problema foi resolvido por meio de verificações de limites adicionais.

    ID de CVE

    CVE-2014-1256: Meder Kydyraliev da Equipe de Segurança do Google

  • Política de confiabilidade dos certificados

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: certificados raiz foram atualizados

    Descrição: o conjunto de certificados raiz do sistema foi atualizado. A lista completa de raízes de sistema reconhecidas podem ser visualizadas através do aplicativo Acesso às chaves.

  • Cookies CFNetwork

    Disponível para: OS X Mountain Lion 10.8.5

    Impacto: cookies podem persistir mesmo depois de redefinir o Safari

    Descrição: redefinir o Safari nem sempre apagava os cookies de sessão até que o Safari fosse fechado. Esse problema foi solucionado através do tratamento aperfeiçoado de cookies de sessão. Esse problema não afeta sistemas que executam o OS X Mavericks 10.9 ou posterior.

    ID de CVE

    CVE-2014-1257: Rob Ansaldo da Amherst College, Graham Bennett

  • CoreAnimation

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer de pilha durante o processamento de imagens pela CoreAnimation. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1258: Karl Smith do NCC Group

  • CoreText

    Disponível para: OS X Mavericks 10.9 e 10.9.1

    Impacto: aplicativos que usam CoreText podem estar vulneráveis a um encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um problema de ausência sem assinatura no CoreText no processamento de fontes Unicode. Esse problema foi solucionado através de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1261: Lucas Apa e Carlos Mario Penagos da IOActive Labs

  • curl

    Disponível para: OS X Mavericks 10.9 e 10.9.1

    Impacto: um invasor com uma posição de rede privilegiada pode interceptar credenciais do usuário ou outras informações confidenciais

    Descrição: ao usar curl para conexão com um URL HTTPS contendo um endereço IP, o endereço IP não era validado em relação ao certificado. Esse problema não afeta sistemas anteriores ao OS X Mavericks 10.9.

    ID de CVE

    CVE-2014-1263: Roland Moriz da Moriz GmbH

  • Segurança de Dados

    Disponível para: OS X Mavericks 10.9 e 10.9.1

    Impacto: um invasor com posição de rede privilegiada pode capturar ou modificar dados em sessões protegidas pelo SSL/TLS

    Descrição: falha do transporte seguro em validar a autenticidade da conexão. Esse problema foi resolvido restaurando-se as etapas de validação faltando.

    ID de CVE

    CVE-2014-1266

  • Data e Hora

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: um usuário sem privilégios podia alterar o relógio do sistema

    Descrição: esta atualização altera o comportamento do comando

    systemsetup
    para exigir privilégios de administrador para alterar o relógio do sistema.

    ID de CVE

    CVE-2014-1265

  • Favorito de arquivo

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: visualizar um arquivo de cujo nome foi criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária do código

    Descrição: havia um estouro de buffer durante o processamento de nomes de arquivo. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1259

  • Finder

    Disponível para: OS X Mavericks 10.9 e 10.9.1

    Impacto: acessar um ACL de arquivo via Finder pode fazer com que outros usuários obtenham acesso não autorizado a arquivos

    Descrição: acessar um ACL de arquivo via Finder pode corromper os ACLs no arquivo. Esse problema foi resolvido através do processamento aperfeiçoado de ACLs.

    ID de CVE

    CVE-2014-1264

  • ImageIO

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: a visualização de um arquivo JPEG criado com códigos maliciosos pode levar à divulgação de conteúdo da memória

    Descrição: havia um problema de acesso de memória não inicializada no processamento de libjpeg de marcadores JPEG, resultando na divulgação de conteúdo da memória. Esse problema foi resolvido pelo melhor processamento de JPEG.

    ID de CVE

    CVE-2013-6629: Michal Zalewski

  • IOSerialFamily

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

    Impacto: a execução de um aplicativo malicioso pode resultar em execução arbitrária de códigos dentro do kernel

    Descrição: um acesso de array fora do limite existia no driver IOSerialFamily. Esse problema foi resolvido por meio de verificações de limites adicionais. Esse problema não afeta sistemas que executam o OS X Mavericks 10.9 ou posterior.

    ID de CVE

    CVE-2013-5139: @dent1zt

  • LaunchServices

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

    Impacto: um arquivo podia apresentar a extensão errada

    Descrição: havia um problema no tratamento de certos caracteres unicode que podiam permitir que nomes de arquivo apresentassem extensões incorretas. Esse problema foi solucionado por meio da filtragem da exibição de caracteres unicode inseguros em nomes de arquivos. Esse problema não afeta sistemas que executam o OS X Mavericks 10.9 ou posterior.

    ID de CVE

    CVE-2013-5178: Jesse Ruderman da Mozilla Corporation, Stephane Sudre da Intego

  • Drivers NVIDIA

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: a execução de um aplicativo malicioso poderia resultar em execução arbitrária de códigos dentro da placa gráfica

    Descrição: havia um problema que permitia gravações em parte da memória confiável na placa gráfica. Esse problema foi resolvido removendo-se a capacidade do host de gravar nessa memória.

    ID de CVE

    CVE-2013-5986: Marcin Kościelnicki do projeto X.Org Foundation Nouveau

    CVE-2013-5987: Marcin Kościelnicki do projeto X.Org Foundation Nouveau

  • PHP

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: diversas vulnerabilidades no PHP

    Descrição: havia diversas vulnerabilidades no PHP, entre as quais a mais séria podia causar a execução arbitrária de códigos. Esses problemas foram resolvidos atualizando o PHP para a versão 5.4.24 no OS X Mavericks 10.9 e versão 5.3.28 no OS X Lion e Mountain Lion.

    ID de CVE

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • QuickLook

    Disponível para: OS X Mountain Lion 10.8.5

    Impacto: fazer uma transferência de um arquivo do Microsoft Office criado com códigos maliciosos pode causar o fechamento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória durante o processamento de arquivos do Microsoft Office pelo QuickLook. Fazer uma transferência de um arquivo do Microsoft Office criado com códigos maliciosos podia causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema não afeta sistemas que executam o OS X Mavericks 10.9 ou posterior.

    ID de CVE

    CVE-2014-1260: Felix Groebert da Equipe de Segurança do Google

  • QuickLook

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: baixar um documento do Microsoft Word criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorria um problema do tipo "double free" durante o processamento de documentos Microsoft Word pelo QuickLook. Esse problema foi solucionado por meio de um gerenciamento aprimorado da memória.

    ID de CVE

    CVE-2014-1252: Felix Groebert da Equipe de Segurança do Google

  • QuickTime

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: reproduzir um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer durante o processamento de átomos 'ftab'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1246: um pesquisador anônimo que trabalha na Zero Day Initiative da HP

  • QuickTime

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: reproduzir um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no tratamento de átomos 'dref'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1247: Tom Gallagher e Paul Bates, trabalhando na Zero Day Initiative da HP

  • QuickTime

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: reproduzir um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer durante o processamento de átomos 'ldat'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1248: Jason Kratzer trabalhando no iDefense VCP

  • QuickTime

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: visualizar uma imagem PSD criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer durante o processamento imagens PSD. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1249: dragonltx da Tencent Security Team

  • QuickTime

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: reproduzir um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de troca de byte no processamento de elementos 'ttfo'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1250: Jason Kratzer trabalhando no iDefense VCP

  • QuickTime

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: reproduzir um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: um problema de ausência de assinatura no processamento de átomos 'stsz'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1245: Tom Gallagher e Paul Bates, trabalhando na Zero Day Initiative da HP

  • Transporte seguro

    Disponível para: OS X Mountain Lion 10.8.5

    Impacto: um invasor pode ser capaz de decodificar dados protegidos por SSL

    Descrição: ocorriam ataques conhecidos à confidencialidade de SSL 3.0 e TLS 1.0, quando um conjunto de codificação utiliza uma cifra de bloco no modo CBC. Para solucionar esses problemas para aplicativos usando transporte seguro, a minimização de fragmentos de 1 byte foi ativada por padrão para essa configuração.

    ID de CVE

    CVE-2011-3389: Juliano Rizzo e Thai Duong

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: