Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.
Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a chave PGP de Segurança do Produto Apple".
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".
Esta atualização pode ser transferida e instalada usando a Atualização de Software ou do site de Suporte da Apple.
OS X Mavericks 10.9.2 e Atualização de Segurança 2014-001
- 

- 

Apache

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: diversas vulnerabilidades no Apache

Descrição: havia diversas vulnerabilidades no Apache, dentre as quais a mais grave podia causar a execução de scripts entre sites. Esses problemas foram resolvidos atualizando o Apache para o versão 2.2.26.

ID de CVE

CVE-2013-1862

CVE-2013-1896

 

- 

- 

Área restrita de aplicativo

Disponível para: OS X Mountain Lion 10.8.5

Impacto: a Área restrita de aplicativo pode ser ignorada

Descrição: a interface LaunchServices para inicialização de um aplicativo permitia que apps em área de segurança especificassem a lista de argumentos a serem passados para o novo processo. Um aplicativo em área de segurança comprometido podia abusar disso para ignorar a área de segurança. Esse problema foi tratado impedindo que aplicativos em área de segurança especifiquem argumentos. Esse problema não afeta sistemas que executam o OS X Mavericks 10.9 ou posterior.

ID de CVE

CVE-2013-5179 : Friedrich Graeter da The Soulmen GbR

 

- 

- 

ATS

Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: a visualização ou a transferência de um documento que contém uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia um problema de corrupção de memória durante o processamento das fontes Tipo 1. Esse problema foi solucionado por meio de melhorias na verificação de limites.

ID de CVE

CVE-2014-1254: Felix Groebert da Equipe de Segurança do Google

 

- 

- 

ATS

Disponível para: OS X Mavericks 10.9 e 10.9.1

Impacto: a Área restrita de aplicativo pode ser ignorada

Descrição: havia um problema de corrupção de memória no processamento de mensagens Mach transmitidas para ATS. Esse problema foi solucionado por meio de melhorias na verificação de limites.

ID de CVE

CVE-2014-1262: Meder Kydyraliev da Equipe de Segurança do Google

 

- 

- 

ATS

Disponível para: OS X Mavericks 10.9 e 10.9.1

Impacto: a Área restrita de aplicativo pode ser ignorada

Descrição: havia um problema arbitrário no processamento de mensagens Mach transmitidas para ATS. Esse problema foi resolvido através de validação adicional de mensagens Mach.

ID de CVE

CVE-2014-1255: Meder Kydyraliev da Equipe de Segurança do Google

 

- 

- 

ATS

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: a Área restrita de aplicativo pode ser ignorada

Descrição: havia um problema de estouro de buffer no processamento de mensagens Mach transmitidas para ATS. Esse problema foi resolvido por meio de verificações de limites adicionais.

ID de CVE

CVE-2014-1256: Meder Kydyraliev da Equipe de Segurança do Google

 

- 

- 

Política de confiabilidade dos certificados

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: certificados raiz foram atualizados

Descrição: o conjunto de certificados raiz do sistema foi atualizado. A lista completa de raízes de sistema reconhecidas podem ser visualizadas através do aplicativo Acesso às chaves.

 

- 

- 

Cookies CFNetwork

Disponível para: OS X Mountain Lion 10.8.5

Impacto: cookies podem persistir mesmo depois de redefinir o Safari

Descrição: redefinir o Safari nem sempre apagava os cookies de sessão até que o Safari fosse fechado. Esse problema foi solucionado através do tratamento aperfeiçoado de cookies de sessão. Esse problema não afeta sistemas que executam o OS X Mavericks 10.9 ou posterior.

ID de CVE

CVE-2014-1257: Rob Ansaldo da Amherst College, Graham Bennett

 

- 

- 

CoreAnimation

Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia um estouro de buffer de pilha durante o processamento de imagens pela CoreAnimation. Esse problema foi solucionado por meio de melhorias na verificação de limites.

ID de CVE

CVE-2014-1258: Karl Smith do NCC Group

 

- 

- 

CoreText

Disponível para: OS X Mavericks 10.9 e 10.9.1

Impacto: aplicativos que usam CoreText podem estar vulneráveis a um encerramento inesperado de aplicativos ou à execução arbitrária de códigos

Descrição: havia um problema de ausência sem assinatura no CoreText no processamento de fontes Unicode. Esse problema foi solucionado através de melhorias na verificação de limites.

ID de CVE

CVE-2014-1261: Lucas Apa e Carlos Mario Penagos da IOActive Labs

 

- 

- 

curl

Disponível para: OS X Mavericks 10.9 e 10.9.1

Impacto: um invasor com uma posição de rede privilegiada pode interceptar credenciais do usuário ou outras informações confidenciais

Descrição: ao usar curl para conexão com um URL HTTPS contendo um endereço IP, o endereço IP não era validado em relação ao certificado. Esse problema não afeta sistemas anteriores ao OS X Mavericks 10.9.

ID de CVE

CVE-2014-1263: Roland Moriz da Moriz GmbH

 

- 

- 

Segurança de Dados

Disponível para: OS X Mavericks 10.9 e 10.9.1

Impacto: um invasor com posição de rede privilegiada pode capturar ou modificar dados em sessões protegidas pelo SSL/TLS

Descrição: falha do transporte seguro em validar a autenticidade da conexão. Esse problema foi resolvido restaurando-se as etapas de validação faltando.

ID de CVE

CVE-2014-1266

 

- 

- 

Data e Hora

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: um usuário sem privilégios podia alterar o relógio do sistema

Descrição: esta atualização altera o comportamento do comando
systemsetup
para exigir privilégios de administrador para alterar o relógio do sistema.
ID de CVE

CVE-2014-1265

 

- 

- 

Favorito de arquivo

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: visualizar um arquivo de cujo nome foi criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária do código

Descrição: havia um estouro de buffer durante o processamento de nomes de arquivo. Esse problema foi solucionado por meio de melhorias na verificação de limites.

ID de CVE

CVE-2014-1259

 

- 

- 

Finder

Disponível para: OS X Mavericks 10.9 e 10.9.1

Impacto: acessar um ACL de arquivo via Finder pode fazer com que outros usuários obtenham acesso não autorizado a arquivos

Descrição: acessar um ACL de arquivo via Finder pode corromper os ACLs no arquivo. Esse problema foi resolvido através do processamento aperfeiçoado de ACLs.

ID de CVE

CVE-2014-1264

 

- 

- 

ImageIO

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: a visualização de um arquivo JPEG criado com códigos maliciosos pode levar à divulgação de conteúdo da memória

Descrição: havia um problema de acesso de memória não inicializada no processamento de libjpeg de marcadores JPEG, resultando na divulgação de conteúdo da memória. Esse problema foi resolvido pelo melhor processamento de JPEG.

ID de CVE

CVE-2013-6629: Michal Zalewski

 

- 

- 

IOSerialFamily

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

Impacto: a execução de um aplicativo malicioso pode resultar em execução arbitrária de códigos dentro do kernel

Descrição: um acesso de array fora do limite existia no driver IOSerialFamily. Esse problema foi resolvido por meio de verificações de limites adicionais. Esse problema não afeta sistemas que executam o OS X Mavericks 10.9 ou posterior.

ID de CVE

CVE-2013-5139: @dent1zt

 

- 

- 

LaunchServices

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

Impacto: um arquivo podia apresentar a extensão errada

Descrição: havia um problema no tratamento de certos caracteres unicode que podiam permitir que nomes de arquivo apresentassem extensões incorretas. Esse problema foi solucionado por meio da filtragem da exibição de caracteres unicode inseguros em nomes de arquivos. Esse problema não afeta sistemas que executam o OS X Mavericks 10.9 ou posterior.

ID de CVE

CVE-2013-5178: Jesse Ruderman da Mozilla Corporation, Stephane Sudre da Intego

 

- 

- 

Drivers NVIDIA

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: a execução de um aplicativo malicioso poderia resultar em execução arbitrária de códigos dentro da placa gráfica

Descrição: havia um problema que permitia gravações em parte da memória confiável na placa gráfica. Esse problema foi resolvido removendo-se a capacidade do host de gravar nessa memória.

ID de CVE

CVE-2013-5986: Marcin Kościelnicki do projeto X.Org Foundation Nouveau

CVE-2013-5987: Marcin Kościelnicki do projeto X.Org Foundation Nouveau

 

- 

- 

PHP

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: diversas vulnerabilidades no PHP

Descrição: havia diversas vulnerabilidades no PHP, entre as quais a mais séria podia causar a execução arbitrária de códigos. Esses problemas foram resolvidos atualizando o PHP para a versão 5.4.24 no OS X Mavericks 10.9 e versão 5.3.28 no OS X Lion e Mountain Lion.

ID de CVE

CVE-2013-4073

CVE-2013-4113

CVE-2013-4248

CVE-2013-6420

 

- 

- 

QuickLook

Disponível para: OS X Mountain Lion 10.8.5

Impacto: fazer uma transferência de um arquivo do Microsoft Office criado com códigos maliciosos pode causar o fechamento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia um problema de corrupção de memória durante o processamento de arquivos do Microsoft Office pelo QuickLook. Fazer uma transferência de um arquivo do Microsoft Office criado com códigos maliciosos podia causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema não afeta sistemas que executam o OS X Mavericks 10.9 ou posterior.

ID de CVE

CVE-2014-1260: Felix Groebert da Equipe de Segurança do Google

 

- 

- 

QuickLook

Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: baixar um documento do Microsoft Word criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: ocorria um problema do tipo "double free" durante o processamento de documentos Microsoft Word pelo QuickLook. Esse problema foi solucionado por meio de um gerenciamento aprimorado da memória.

ID de CVE

CVE-2014-1252: Felix Groebert da Equipe de Segurança do Google

 

- 

- 

QuickTime

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: reproduzir um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia um estouro de buffer durante o processamento de átomos 'ftab'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

ID de CVE

CVE-2014-1246: um pesquisador anônimo que trabalha na Zero Day Initiative da HP

 

- 

- 

QuickTime

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: reproduzir um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia um problema de corrupção de memória no tratamento de átomos 'dref'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

ID de CVE

CVE-2014-1247: Tom Gallagher e Paul Bates, trabalhando na Zero Day Initiative da HP

 

- 

- 

QuickTime

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: reproduzir um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia um estouro de buffer durante o processamento de átomos 'ldat'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

ID de CVE

CVE-2014-1248: Jason Kratzer trabalhando no iDefense VCP

 

- 

- 

QuickTime

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: visualizar uma imagem PSD criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia um estouro de buffer durante o processamento imagens PSD. Esse problema foi solucionado por meio de melhorias na verificação de limites.

ID de CVE

CVE-2014-1249: dragonltx da Tencent Security Team

 

- 

- 

QuickTime

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: reproduzir um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia um problema de troca de byte no processamento de elementos 'ttfo'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

ID de CVE

CVE-2014-1250: Jason Kratzer trabalhando no iDefense VCP

 

- 

- 

QuickTime

Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

Impacto: reproduzir um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um problema de ausência de assinatura no processamento de átomos 'stsz'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

ID de CVE

CVE-2014-1245: Tom Gallagher e Paul Bates, trabalhando na Zero Day Initiative da HP

 

- 

- 

Transporte seguro

Disponível para: OS X Mountain Lion 10.8.5

Impacto: um invasor pode ser capaz de decodificar dados protegidos por SSL

Descrição: ocorriam ataques conhecidos à confidencialidade de SSL 3.0 e TLS 1.0, quando um conjunto de codificação utiliza uma cifra de bloco no modo CBC. Para solucionar esses problemas para aplicativos usando transporte seguro, a minimização de fragmentos de 1 byte foi ativada por padrão para essa configuração.

 
ID de CVE

CVE-2011-3389: Juliano Rizzo e Thai Duong