Sobre o conteúdo de segurança do OS X Mavericks 10.9.5 e a Atualização de Segurança 2014-004

Este documento descreve o conteúdo de segurança do OS X Mavericks 10.9.5 e a Atualização de Segurança 2014-004.

Esta atualização pode ser baixada e instalada por meio das preferências Atualização de Software ou no site do Suporte da Apple.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Atualizações de segurança da Apple.

Nota: o OS X Mavericks 10.9.5 inclui o conteúdo de segurança do Safari 7.0.6.

OS X Mavericks 10.9.5 e Atualização de Segurança 2014-004

  • apache_mod_php

    Disponível para: OS X Mavericks 10.9 a 10.9.4

    Impacto: diversas vulnerabilidades no PHP 5.4.24

    Descrição: havia diversas vulnerabilidades no PHP 5.4.24, entre as quais a mais séria podia causar a execução arbitrária de códigos. Esta atualização resolve problemas atualizando o PHP para a versão 5.4.30

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Disponível para: OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo malicioso pode para executar código arbitrário com privilégios de sistema

    Descrição: havia um problema de validação no processamento de chamada da API Bluetooth. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-4390: Ian Beer do Google Project Zero

  • CoreGraphics

    CVE-2014-4378: Felipe Andres Manzano da Binamuse VRT em parceria com o Programa GVP da iSIGHT Partners

    Impact: Opening a maliciously crafted PDF file may lead to an unexpected application termination or an information disclosure

    Description: An out of bounds memory read existed in the handling of PDF files. This issue was addressed through improved bounds checking.

    CVE-ID

    CVE-2014-4378 : Felipe Andres Manzano of Binamuse VRT working with the iSIGHT Partners GVP Program

  • CoreGraphics

    CVE-2014-4377: Felipe Andres Manzano da Binamuse VRT em parceria com o Programa GVP da iSIGHT Partners

    Impact: Opening a maliciously crafted PDF file may lead to an unexpected application termination or arbitrary code execution

    Description: An integer overflow existed in the handling of PDF files. This issue was addressed through improved bounds checking.

    CVE-ID

    CVE-2014-4377 : Felipe Andres Manzano of Binamuse VRT working with the iSIGHT Partners GVP Program

  • Foundation

    Disponível para: OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo usando o NSXMLParser pode ser usado de forma incorreta para divulgar informações

    Descrição: havia um problema na Entidade Externa XML no processamento de NSXMLParser do XML. O problema foi resolvido por meio do não carregamento de entidades externas nas origens.

    CVE-ID

    CVE-2014-4374: George Gal da VSR (http://www.vsecurity.com/)

  • Intel Graphics Driver

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: compilar shaders GLSL não confiáveis pode resultar no encerramento inesperado de um aplicativo ou na execução de código arbitrário

    Descrição: havia um estouro de buffer no espaço do usuário no compilador do shader. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-4393: Apple

  • Intel Graphics Driver

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks, do 10.9 ao 10.9.4

    Impacto: um aplicativo malicioso pode executar código arbitrário com privilégios de sistema

    Descrição: havia vários problemas de validação em algumas rotinas integradas de driver da placa gráfica. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-4394: Ian Beer, do Google Project Zero

    CVE-2015-4395: Ian Beer, do Google Project Zero

    CVE-2015-4396: Ian Beer, do Google Project Zero

    CVE-2015-4397: Ian Beer, do Google Project Zero

    CVE-2015-4398: Ian Beer, do Google Project Zero

    CVE-2015-4399: Ian Beer, do Google Project Zero

    CVE-2015-4400: Ian Beer, do Google Project Zero

    CVE-2015-4401: KEEN Team

    CVE-2014-4416: Ian Beer, do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: Um aplicativo malicioso pode conseguir executar código arbitrário com privilégios de sistema

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de argumentos da API IOKit. O problema foi resolvido por meio de melhorias na validação de argumentos da API IOKit.

    CVE-ID

    CVE-2014-4376: Ian Beer do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de leitura fora dos limites no processamento de uma função IOAcceleratorFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-4402: Ian Beer do Google Project Zero

  • IOHIDFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks, do 10.9 ao 10.9.4

    Impacto: um usuário local pode ler indicadores de kernel, que podem ser usados para evitar a randomização de layout do espaço de endereço de kernel

    Descrição: havia um problema de leitura fora dos limites no processamento de uma função de IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-4379: Ian Beer do Google Project Zero

  • IOKit

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: existia um problema de validação no processamento de determinados campos de metadados dos objetos de IODataQueue. O problema foi resolvido por meio de melhorias na validação de metadados.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema

    Descrição: havia um estouro de inteiro no processamento de funções IOKit. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4389: Ian Beer, do Google Project Zero

  • Kernel

    Disponível para: OS X Mavericks 10.9 a 10.9.4

    Impacto: um usuário local poderia inferir endereços kernel e ignorar a randomização de layout do espaço de endereço kernel

    Descrição: em alguns casos, a tabela de descritor global de CPU era alocada a um endereço previsível. Esse problema foi solucionado por meio da alocação da tabela do descritor local sempre a endereços aleatórios.

    CVE-ID

    CVE-2014-4403: Ian Beer do Google Project Zero

  • Libnotify

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de raiz

    Descrição: existia um problema de gravação fora dos limites no Libnotify. Esse problema foi solucionado por meio de melhorias na verificação de limites

    CVE-ID

    CVE-2014-4381: Ian Beer do Google Project Zero

  • OpenSSL

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: diversas vulnerabilidades no OpenSSL 0.9.8y, incluindo uma que pode resultar em execução de código arbitrária

    Descrição: havia diversas vulnerabilidades no OpenSSL 0.9.8y. Esta atualização resolve os problemas atualizando o OpenSSL para a versão 0.9.8za.

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: reproduzir um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória durante o processamento de arquivos de filme codificado RLE. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-1391: Fernando Munoz, em parceria com a iDefense VCP, Tom Gallagher e Paul Bates, em parceria com a Zero Day Initiative da HP

  • QuickTime

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: reproduzir um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existia um estouro de buffer no processamento de átomos 'ldat'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-4350: s3tm3m, em parceria com a Zero Day Initiative da HP

  • QT Media Foundation

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 e 10.9.4

    Impacto: reproduzir um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no tratamento de átomos 'mvhd'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-4979: Andrea Micalizzi, também conhecido como rgod, em parceria com a Zero Day Initiative da HP

  • ruby

    Disponível para: OS X Mavericks 10.9 a 10.9.4

    Impacto: um invasor externo pode executar um código arbitrário

    Descrição: havia um estouro de buffer de pilha no processamento de caracteres codificados em percentual em uma URI por parte do LibYAML. Esse problema foi resolvido por meio de melhorias na verificação de limites. Esta atualização resolve os problemas atualizando o LibYAML para a versão 0.1.6

    CVE-ID

    CVE-2014-2525

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: