Sobre o conteúdo de segurança do OS X Mavericks 10.9.5 e a Atualização de Segurança 2014-004
Este documento descreve o conteúdo de segurança do OS X Mavericks 10.9.5 e a Atualização de Segurança 2014-004.
Esta atualização pode ser baixada e instalada por meio das preferências Atualização de Software ou no site do Suporte da Apple.
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Atualizações de segurança da Apple.
Nota: o OS X Mavericks 10.9.5 inclui o conteúdo de segurança do Safari 7.0.6.
OS X Mavericks 10.9.5 e Atualização de Segurança 2014-004
apache_mod_php
Disponível para: OS X Mavericks 10.9 a 10.9.4
Impacto: diversas vulnerabilidades no PHP 5.4.24
Descrição: havia diversas vulnerabilidades no PHP 5.4.24, entre as quais a mais séria podia causar a execução arbitrária de códigos. Esta atualização resolve problemas atualizando o PHP para a versão 5.4.30
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Disponível para: OS X Mavericks 10.9 a 10.9.4
Impacto: um aplicativo malicioso pode para executar código arbitrário com privilégios de sistema
Descrição: havia um problema de validação no processamento de chamada da API Bluetooth. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-ID
CVE-2014-4390: Ian Beer do Google Project Zero
CoreGraphics
CVE-2014-4378: Felipe Andres Manzano da Binamuse VRT em parceria com o Programa GVP da iSIGHT Partners
Impact: Opening a maliciously crafted PDF file may lead to an unexpected application termination or an information disclosure
Description: An out of bounds memory read existed in the handling of PDF files. This issue was addressed through improved bounds checking.
CVE-ID
CVE-2014-4378 : Felipe Andres Manzano of Binamuse VRT working with the iSIGHT Partners GVP Program
CoreGraphics
CVE-2014-4377: Felipe Andres Manzano da Binamuse VRT em parceria com o Programa GVP da iSIGHT Partners
Impact: Opening a maliciously crafted PDF file may lead to an unexpected application termination or arbitrary code execution
Description: An integer overflow existed in the handling of PDF files. This issue was addressed through improved bounds checking.
CVE-ID
CVE-2014-4377 : Felipe Andres Manzano of Binamuse VRT working with the iSIGHT Partners GVP Program
Foundation
Disponível para: OS X Mavericks 10.9 a 10.9.4
Impacto: um aplicativo usando o NSXMLParser pode ser usado de forma incorreta para divulgar informações
Descrição: havia um problema na Entidade Externa XML no processamento de NSXMLParser do XML. O problema foi resolvido por meio do não carregamento de entidades externas nas origens.
CVE-ID
CVE-2014-4374: George Gal da VSR (http://www.vsecurity.com/)
Intel Graphics Driver
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4
Impacto: compilar shaders GLSL não confiáveis pode resultar no encerramento inesperado de um aplicativo ou na execução de código arbitrário
Descrição: havia um estouro de buffer no espaço do usuário no compilador do shader. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-ID
CVE-2014-4393: Apple
Intel Graphics Driver
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks, do 10.9 ao 10.9.4
Impacto: um aplicativo malicioso pode executar código arbitrário com privilégios de sistema
Descrição: havia vários problemas de validação em algumas rotinas integradas de driver da placa gráfica. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.
CVE-ID
CVE-2014-4394: Ian Beer, do Google Project Zero
CVE-2015-4395: Ian Beer, do Google Project Zero
CVE-2015-4396: Ian Beer, do Google Project Zero
CVE-2015-4397: Ian Beer, do Google Project Zero
CVE-2015-4398: Ian Beer, do Google Project Zero
CVE-2015-4399: Ian Beer, do Google Project Zero
CVE-2015-4400: Ian Beer, do Google Project Zero
CVE-2015-4401: KEEN Team
CVE-2014-4416: Ian Beer, do Google Project Zero
IOAcceleratorFamily
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4
Impacto: Um aplicativo malicioso pode conseguir executar código arbitrário com privilégios de sistema
Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de argumentos da API IOKit. O problema foi resolvido por meio de melhorias na validação de argumentos da API IOKit.
CVE-ID
CVE-2014-4376: Ian Beer do Google Project Zero
IOAcceleratorFamily
Disponível para: OS X Mavericks 10.9 a 10.9.4
Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de leitura fora dos limites no processamento de uma função IOAcceleratorFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-ID
CVE-2014-4402: Ian Beer do Google Project Zero
IOHIDFamily
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks, do 10.9 ao 10.9.4
Impacto: um usuário local pode ler indicadores de kernel, que podem ser usados para evitar a randomização de layout do espaço de endereço de kernel
Descrição: havia um problema de leitura fora dos limites no processamento de uma função de IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-ID
CVE-2014-4379: Ian Beer do Google Project Zero
IOKit
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4
Impacto: um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema
Descrição: existia um problema de validação no processamento de determinados campos de metadados dos objetos de IODataQueue. O problema foi resolvido por meio de melhorias na validação de metadados.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4
Impacto: um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema
Descrição: havia um estouro de inteiro no processamento de funções IOKit. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4389: Ian Beer, do Google Project Zero
Kernel
Disponível para: OS X Mavericks 10.9 a 10.9.4
Impacto: um usuário local poderia inferir endereços kernel e ignorar a randomização de layout do espaço de endereço kernel
Descrição: em alguns casos, a tabela de descritor global de CPU era alocada a um endereço previsível. Esse problema foi solucionado por meio da alocação da tabela do descritor local sempre a endereços aleatórios.
CVE-ID
CVE-2014-4403: Ian Beer do Google Project Zero
Libnotify
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4
Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de raiz
Descrição: existia um problema de gravação fora dos limites no Libnotify. Esse problema foi solucionado por meio de melhorias na verificação de limites
CVE-ID
CVE-2014-4381: Ian Beer do Google Project Zero
OpenSSL
Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4
Impacto: diversas vulnerabilidades no OpenSSL 0.9.8y, incluindo uma que pode resultar em execução de código arbitrária
Descrição: havia diversas vulnerabilidades no OpenSSL 0.9.8y. Esta atualização resolve os problemas atualizando o OpenSSL para a versão 0.9.8za.
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4
Impacto: reproduzir um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória durante o processamento de arquivos de filme codificado RLE. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-ID
CVE-2014-1391: Fernando Munoz, em parceria com a iDefense VCP, Tom Gallagher e Paul Bates, em parceria com a Zero Day Initiative da HP
QuickTime
Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1
Impacto: reproduzir um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos
Descrição: existia um estouro de buffer no processamento de átomos 'ldat'. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-ID
CVE-2014-4350: s3tm3m, em parceria com a Zero Day Initiative da HP
QT Media Foundation
Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.4
Impacto: reproduzir um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no tratamento de átomos 'mvhd'. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-ID
CVE-2014-4979: Andrea Micalizzi, também conhecido como rgod, em parceria com a Zero Day Initiative da HP
ruby
Disponível para: OS X Mavericks 10.9 a 10.9.4
Impacto: um invasor externo pode executar um código arbitrário
Descrição: havia um estouro de buffer de pilha no processamento de caracteres codificados em percentual em uma URI por parte do LibYAML. Esse problema foi resolvido por meio de melhorias na verificação de limites. Esta atualização resolve os problemas atualizando o LibYAML para a versão 0.1.6
CVE-ID
CVE-2014-2525
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.