Acerca dos conteúdos de segurança do OS X Mavericks v10.9.5 e da Atualização de segurança 2014-004

Este documento descreve os conteúdos de segurança do OS X Mavericks v10.9.5 e da Atualização de segurança 2014-004.

Esta atualização pode ser descarregada e instalada através da Atualização de software ou a partir do site do Suporte Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações acerca da chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

Nota: o OS X Mavericks v10.9.5 inclui os conteúdos de segurança do Safari 7.0.6.

OS X Mavericks v10.9.5 e Atualização de segurança 2014-004

  • apache_mod_php

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: várias vulnerabilidades no PHP 5.4.24

    Descrição: existiam várias vulnerabilidades no PHP 5.4.24, sendo que a mais grave poderá provocar a execução de código arbitrário. Esta atualização resolve os problemas ao atualizar o PHP para a versão 5.4.30

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de uma chamada à API Bluetooth. Este problema foi resolvido através da verificação melhorada dos limites.

    CVE-ID

    CVE-2014-4390: Ian Beer do Google Project Zero

  • CoreGraphics

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a divulgação de informações

    Descrição: existia um problema de leitura de memória fora dos limites no processamento de ficheiros PDF. Este problema foi resolvido através da verificação melhorada dos limites.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano da Binamuse VRT em colaboração com o iSIGHT Partners GVP Program

  • CoreGraphics

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de ficheiros PDF. Este problema foi resolvido através da verificação melhorada dos limites.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano da Binamuse VRT em colaboração com o iSIGHT Partners GVP Program

  • Foundation

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação que utilize o NSXMLParser pode ser mal utilizada para divulgar informações

    Descrição: existia um problema de Entidade externa XML no processamento de XML por parte do NSXMLParser. O problema foi resolvido através do não carregamento de entidades externas nas origens.

    CVE-ID

    CVE-2014-4374: George Gal da VSR (http://www.vsecurity.com/)

  • Intel Graphics Driver

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: a compilação com shaders GLSL não fidedignos poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no espaço do utilizador no compilador shader. Este problema foi resolvido através da verificação melhorada dos limites.

    CVE-ID

    CVE-2014-4393: Apple

  • Intel Graphics Driver

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existiam vários problemas de validação em algumas rotinas de controladores de gráficos integrados. Estes problemas foram resolvidos através da verificação melhorada dos limites.

    CVE-ID

    CVE-2014-4394: Ian Beer do Google Project Zero

    CVE-2014-4395: Ian Beer do Google Project Zero

    CVE-2014-4396: Ian Beer do Google Project Zero

    CVE-2014-4397: Ian Beer do Google Project Zero

    CVE-2014-4398: Ian Beer do Google Project Zero

    CVE-2014-4399: Ian Beer do Google Project Zero

    CVE-2014-4400: Ian Beer do Google Project Zero

    CVE-2014-4401: Ian Beer do Google Project Zero

    CVE-2014-4416: Ian Beer do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de perda de referência do indicador nulo no processamento de argumentos da API IOKit. Este problema foi resolvido através da validação melhorada dos argumentos da API do IOKit.

    CVE-ID

    CVE-2014-4376: Ian Beer do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de leitura fora dos limites no processamento de uma função do IOAcceleratorFamily. Este problema foi resolvido através da verificação melhorada dos limites.

    CVE-ID

    CVE-2014-4402: Ian Beer do Google Project Zero

  • IOHIDFamily

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: um utilizador local pode ler indicadores do kernel, que podem ser utilizados para ignorar a aleatoriedade da disposição do espaço de endereços do kernel

    Descrição: existia um problema de leitura fora dos limites no processamento de uma função do IOHIDFamily. Este problema foi resolvido através da verificação melhorada dos limites.

    CVE-ID

    CVE-2014-4379: Ian Beer do Google Project Zero

  • IOKit

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de determinados campos de metadados dos objetos IODataQueue. Este problema foi resolvido através da validação melhorada de metadados.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de funções do IOKit. Este problema foi resolvido através da verificação melhorada dos limites.

    CVE-ID

    CVE-2014-4389: Ian Beer do Google Project Zero

  • Kernel

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: um utilizador local pode inferir endereços do kernel e ignorar a aleatoriedade da disposição do espaço de endereços do kernel

    Descrição: em alguns casos, a Global Descriptor Table da CPU foi atribuída a um endereço previsível. Este problema foi resolvido através da atribuição da Global Descriptor Table em endereços aleatórios.

    CVE-ID

    CVE-2014-4403: Ian Beer do Google Project Zero

  • Libnotify

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios de raiz

    Descrição: existia um problema de escrita fora dos limites no Libnotify. Este problema foi resolvido através da verificação melhorada dos limites

    CVE-ID

    CVE-2014-4381: Ian Beer do Google Project Zero

  • OpenSSL

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: várias vulnerabilidades no OpenSSL 0.9.8y, incluindo uma que poderá provocar a execução de código arbitrário

    Descrição: existiam várias vulnerabilidades no OpenSSL 0.9.8y. Este problema foi resolvido através da atualização do OpenSSL para a versão 0.9.8za.

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: a reprodução de um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de filme com codificação RLE. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-1391: Fernando Munoz em colaboração com a iDefense VCP, Tom Gallagher e Paul Bates em colaboração com o programa Zero Day Initiative da HP

  • QT Media Foundation

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: reproduzir um ficheiro MIDI criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de ficheiros MIDI. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4350: s3tm3m em colaboração com o programa Zero Day Initiative da HP

  • QT Media Foundation

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: reproduzir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de átomos "mvhd". Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4979: Andrea Micalizzi aka rgod em colaboração com o programa Zero Day Initiative da HP

  • ruby

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: um atacante remoto poderá conseguir provocar a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer da pilha no processamento de carateres codificados com o símbolo de percentagem num URI por parte do LibYAML. Este problema foi resolvido através da verificação melhorada dos limites. Esta atualização resolve os problemas ao atualizar o LibYAML para a versão 0.1.6

    CVE-ID

    CVE-2014-2525

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: