Sobre o conteúdo de segurança do OS X Yosemite 10.10.4 e da Atualização de Segurança 2015-005
Este documento descreve o conteúdo de segurança do OS X Yosemite 10.10.4 e da Atualização de Segurança 2015-005.
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a Segurança do Produto Apple, consulte o site sobre Segurança do Produto Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
OS X Yosemite 10.10.4 e Atualização de Segurança 2015-005
Admin Framework
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impactto: Um processo pode obter privilégios de administrador sem autenticação adequada
Descrição: Existia um problema ao verificar os direitos do XPC. Esse problema foi solucionado com o aprimoramento da verificação de direitos.
ID de CVE
CVE-2015-3671: Emil Kvarnhammar da TrueSec
Admin Framework
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: Um usuário não administrador pode obter direitos de administrador
Descrição: Existia um problema no processamento da autenticação do usuário. Esse problema foi resolvido por meio de melhorias na verificação de erros.
ID de CVE
CVE-2015-3672: Emil Kvarnhammar da TrueSec
Admin Framework
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um invasor pode violar o Utilitário de Diretório para obter privilégios de raiz
Descrição: o Utilitário de Diretório podia ser movido e modificado para executar códigos sem um processo autorizado. Esse problema foi solucionado por meio da limitação dos locais de disco a partir dos quais os clientes writeconfig podem ser executados.
ID de CVE
CVE-2015-3673: Patrick Wardle da Synack, Emil Kvarnhammar da TrueSec
afpserver
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários
Descrição: havia um problema de corrompimento de memória no servidor AFP. Esse problema foi resolvido por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-3674: Dean Jerkovich do NCC Group
apache
Disponível para: OS X Yosemite 10.10 a 0.10.3
Impacto: um invasor pode acessar diretórios protegidos por autenticação HTTP sem saber as credenciais corretas
Descrição: a configuração padrão do Apache não incluía mod_hfs_apple. Se o Apache fosse ativado manualmente e a configuração não fosse alterada, alguns arquivos que não deveriam estar acessíveis poderiam ser acessados por meio da utilização de um URL desenvolvido especialmente para isso. Esse problema foi solucionado por meio da ativação de mod_hfs_apple.
ID de CVE
CVE-2015-3675: Apple
apache
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: existem diversas vulnerabilidades no PHP, entre as quais a mais séria pode causar a execução arbitrária de códigos
Descrição: existiam diversas vulnerabilidades em versões do PHP anteriores a 5.5.24 e 5.4.40. Elas foram solucionadas com a atualização do PHP para as versões 5.5.24 e 5.4.40.
ID de CVE
CVE-2015-0235
CVE-2015-0273
AppleGraphicsControl
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: Um usuário local pode ser capaz de determinar o layout da memória do kernel
Descrição: Havia um problema no AppleGraphicsControl que levou à divulgação do conteúdo da memória do kernel. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-3676: Chen Liang da KEEN Team
AppleFSCompression
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema na compressão LZVN que podia causar a divulgação do conteúdo da memória do kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-3677: um pesquisador anônimo em parceria com a Zero Day Initiative da HP
AppleThunderboltEDMService
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de corrompimento de memória no processamento de determinados comandos do Thunderbolt a partir de processos locais. Esse problema foi resolvido por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-3678: Apple
ATS
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários
Descrição: havia diversos problemas de corrompimento de memória durante o processamento de certas fontes. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-3679: Pawel Wylecial em parceria com a Zero Day Initiative da HP
CVE-2015-3680: Pawel Wylecial em parceria com a Zero Day Initiative da HP
CVE-2015-3681: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3682: 魏诺德
Bluetooth
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: um usuário local pode ser capaz de executar código arbitrário com privilégios de kernel
Descrição: havia um problema de corrompimento da memória na interface Bluetooth HCI. Esse problema foi resolvido por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-3683: Roberto Paleari e Aristide Fattori da Emaze Networks
Certificate Trust Policy
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: um invasor em uma posição de rede privilegiada pode interceptar o tráfego de rede
Descrição: um certificado intermediário foi emitido incorretamente pela autoridade certificadora CNNIC. O problema foi resolvido por meio da adição de um mecanismo para confiar apenas em um subconjunto de certificados emitidos antes da emissão incorreta do intermediário. Saiba mais sobre a lista de confiança parcial para segurança.
Certificate Trust Policy
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Descrição: a política de confiança do certificado foi atualizada. A lista completa de certificados pode ser visualizada na lista de Certificados do OS X.
CFNetwork HTTPAuthentication
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: seguir um URL criado com códigos maliciosos pode causar a execução de códigos arbitrários
Descrição: havia um problema de memória corrompida no processamento de credenciais de alguns URLs. Esse problema foi resolvido por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-3684: Apple
CoreText
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: o processamento de um arquivo de texto criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários
Descrição: havia vários problemas de corrompimento de memória no processamento de arquivos de texto. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-1157
CVE-2015-3685: Apple
CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3689: Apple
coreTLS
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um invasor com uma posição de rede privilegiada pode interceptar as conexões SSL/TLS
Descrição: o coreTLS aceitava chaves Diffie-Hellman (DH) curtas e efêmeras, como as usadas em conjuntos de codificação de chaves DH efêmeras de nível de exportação. Esse problema, também conhecido como Logjam, permitia que um invasor em uma posição de rede privilegiada diminuísse a segurança para DH de 512 bits caso o servidor aceitasse conjuntos de codificação de chaves DH efêmeras de nível de exportação. O problema foi resolvido por meio do aumento do tamanho mínimo padrão permitido para as chaves DH efêmeras para 768 bits.
ID de CVE
CVE-2015-4000: equipe weakdh da weakdh.org, Hanno Boeck
DiskImages
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema de divulgação de informações no processamento de imagens de disco. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-3690: Peter Rutenbar em parceria com a Zero Day Initiative da HP
Display Drivers
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema com a extensão de kernel Monitor Control Command Set que fazia com que um processo do espaço do usuário pudesse controlar o valor de um indicador de função no kernel. O problema foi solucionado com a remoção da interface afetada.
ID de CVE
CVE-2015-3691: Roberto Paleari e Aristide Fattori da Emaze Networks
EFI
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso com privilégios de raiz pode modificar a memória flash EFI
Descrição: havia um problema de bloqueio insuficiente na memória flash EFI ao voltar do repouso. Esse problema foi solucionado por meio da melhoria do bloqueio.
ID de CVE
CVE-2015-3692: Trammell Hudson da Two Sigma Investments, Xeno Kovah e Corey Kallenberg da LegbaCore LLC, Pedro Vilaça
EFI
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode induzir a corrompimento da memória para aumentar privilégios
Descrição: em algumas RAM DDR3, havia um erro de distúrbio, também chamado de Rowhammer, que podia causar o corrompimento da memória. Esse problema foi solucionado por meio do aumento das taxas de atualização da memória.
ID de CVE
CVE-2015-3693: Mark Seaborn e Thomas Dullien do Google, trabalhando a partir da pesquisa original de Yoongu Kim et al (2014)
FontParser
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi resolvido por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team
Graphics Driver
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de gravação fora dos limites no driver da placa gráfica NVIDIA. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-3712: Ian Beer, do Google Project Zero
Intel Graphics Driver
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: havia vários problemas de sobrecarga do buffer no driver da placa gráfica Intel. O mais grave deles poderia levar à execução arbitrária de códigos com privilégios do sistema
Descrição: havia vários problemas de sobrecarga do buffer no driver da placa gráfica Intel. Eles foram solucionados por meio de verificações de limites adicionais.
ID de CVE
CVE-2015-3695: Ian Beer, do Google Project Zero
CVE-2015-3696: Ian Beer, do Google Project Zero
CVE-2015-3697: Ian Beer, do Google Project Zero
CVE-2015-3698: Ian Beer, do Google Project Zero
CVE-2015-3699: Ian Beer, do Google Project Zero
CVE-2015-3700: Ian Beer, do Google Project Zero
CVE-2015-3701: Ian Beer, do Google Project Zero
CVE-2015-3702: KEEN Team
ImageIO
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: existiam diversas vulnerabilidades no libtiff, sendo que a mais séria podia causar a execução arbitrária de códigos
Descrição: existiam diversas vulnerabilidades nas versões do libtiff anteriores à 4.0.4. Elas foram solucionadas por meio da atualização do libtiff para a versão 4.0.4.
ID de CVE
CVE-2014-8127
CVE-2014-8128
CVE-2014-8129
CVE-2014-8130
ImageIO
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.3
Impacto: O processamento de um arquivo .tiff criado com códigos maliciosos pode levar à execução de código arbitrário ou encerramento inesperado do aplicativo
Descrição: havia um problema de corrupção de memória no processamento de arquivos .tiff. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-3703: Apple
Install Framework Legacy
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia vários problemas na maneira como o código binário setuid de execução do Install.framework liberava privilégios. Eles foram solucionados por meio da liberação correta de privilégios.
ID de CVE
CVE-2015-3704: Ian Beer, do Google Project Zero
IOAcceleratorFamily
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: existiam vários problemas de corrompimento da memória em IOAcceleratorFamily. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-3705: KEEN Team
CVE-2015-3706: KEEN Team
IOFireWireFamily
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia vários problemas de cancelamento de referência de indicador nulo no driver do FireWire. Esses problemas foram solucionados por meio de melhorias na verificação de erros.
ID de CVE
CVE-2015-3707: Roberto Paleari e Aristide Fattori da Emaze Networks
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema de gerenciamento de memória no processamento de APIs relacionadas às extensões de kernel que podia causar a divulgação do layout de memória de kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-3720: Stefan Esser
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema de gerenciamento de memória no processamento de parâmetros HFS que podia causar a divulgação do layout de memória de kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-3721: Ian Beer, do Google Project Zero
kext tools
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode sobrescrever arquivos arbitrariamente
Descrição: o kextd seguia links simbólicos ao criar um novo arquivo. O problema foi resolvido por meio de melhorias no processamento de links simbólicos.
ID de CVE
CVE-2015-3708: Ian Beer, do Google Project Zero
kext tools
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um usuário local pode carregar extensões de kernel sem assinatura
Descrição: havia uma condição de corrida na verificação de tempo de uso ao validar os caminhos das extensões de kernel. Esse problema foi solucionado por meio de melhorias na verificação para a validação do caminho das extensões de kernel.
ID de CVE
CVE-2015-3709: Ian Beer, do Google Project Zero
Mail
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um e-mail criado com códigos maliciosos pode substituir o conteúdo da mensagem por uma página arbitrária da web quando a mensagem é visualizada
Descrição: havia um problema no e-mail compatível com HTML que permitia a atualização do conteúdo da mensagem com uma página arbitrária da web. O problema foi resolvido por meio da restrição da compatibilidade com conteúdo HTML.
ID de CVE
CVE-2015-3710: Aaron Sigel da vtty.com, Jan Souček
ntfs
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema no NTFS que podia causar a divulgação do conteúdo da memória do kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-3711: Peter Rutenbar em parceria com a Zero Day Initiative da HP
ntp
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: um invasor em posição privilegiada pode realizar um ataque de negação de serviço contra dois clientes ntp
Descrição: havia vários problemas na autenticação de pacotes ntp recebidos por pontos periféricos configurados. Esses problemas foram solucionados por meio de melhorias no gerenciamento do estado de conexões.
ID de CVE
CVE-2015-1798
CVE-2015-1799
OpenSSL
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: havia vários problemas no OpenSSL, um dos quais podia permitir que um invasor interceptasse conexões com um servidor compatível com cifras de nível de exportação
Descrição: havia vários problemas no OpenSSL 0.9.8zd, que foram solucionados por meio da atualização do OpenSSL para a versão 0.9.8zf.
ID de CVE
CVE-2015-0209
CVE-2015-0286
CVE-2015-0287
CVE-2015-0288
CVE-2015-0289
CVE-2015-0293
QuickTime
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: o processamento de um arquivo de filme criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários
Descrição: havia vários problemas de corrompimento de memória no QuickTime. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-3661: G. Geshev em parceria com a Zero Day Initiative da HP
CVE-2015-3662: kdot em parceria com a Zero Day Initiative da HP
CVE-2015-3663: kdot em parceria com a Zero Day Initiative da HP
CVE-2015-3666: Steven Seeley da Source Incite em parceria com a Zero Day Initiative da HP
CVE-2015-3667: Ryan Pentney, Richard Johnson da Cisco Talos e Kai Lu do Fortinet's FortiGuard Labs
CVE-2015-3668: Kai Lu do Fortinet's FortiGuard Labs
CVE-2015-3713: Apple
Security
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários
Descrição: havia um estouro de inteiros no código da estrutura de segurança para analisar e-mails S/MIME e alguns outros objetos assinados ou criptografados. O problema foi resolvido por meio de melhorias na verificação de validade.
ID de CVE
CVE-2013-1741
Security
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: não é possível impedir a abertura de aplicativos violados
Descrição: apps que utilizam regras personalizadas de recursos poderiam estar suscetíveis a violações que não invalidavam a assinatura. Esse problema foi solucionado por meio de melhorias na validação de recursos.
ID de CVE
CVE-2015-3714: Joshua Pitts do Leviathan Security Group
Security
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: um aplicativo malicioso pode contornar verificações de assinatura de códigos
Descrição: havia um problema que fazia com que a assinatura de códigos não verificasse as bibliotecas carregadas fora do pacote de aplicativos. Esse problema foi solucionado com o aprimoramento da verificação de pacotes.
ID de CVE
CVE-2015-3715: Patrick Wardle da Synack
Spotlight
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.3
Impacto: buscar um arquivo malicioso com o Spotlight pode levar à injeção de comandos
Descrição: havia uma vulnerabilidade na injeção de comandos ao processar nomes de arquivos de fotos adicionadas à biblioteca de fotos local. Esse problema foi resolvido por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-3716: Apple
SQLite
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.
Descrição: havia vários problemas de estouros de buffer na implementação do printf do SQLite. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-3717: Peter Rutenbar em parceria com a Zero Day Initiative da HP
SQLite
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um comando SQL criado com códigos maliciosos podia permitir o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia um problema de API na funcionalidade SQLite. O problema foi resolvido por meio de melhorias nas restrições.
ID de CVE
CVE-2015-7036: Peter Rutenbar em parceria com a Zero Day Initiative da HP
System Stats
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: um app malicioso pode comprometer o systemstatsd
Descrição: havia um problema de confusão de tipos no processamento da comunicação entre processos pelo systemstatsd. Ao enviar uma mensagem formatada com códigos maliciosos para o systemstatsd, era possível executar códigos arbitrários como sendo o processo do systemstatsd. Esse problema foi resolvido por meio de verificações de tipos adicionais.
ID de CVE
CVE-2015-3718: Roberto Paleari e Aristide Fattori da Emaze Networks
TrueTypeScaler
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi resolvido por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team
zip
Disponível para: OS X Yosemite 10.10 a 10.10.3
Impacto: o processamento de um arquivo zip criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários
Descrição: havia diversos problemas de corrompimento de memória durante o processamento de arquivos zip. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.
ID de CVE
CVE-2014-8139
CVE-2014-8140
CVE-2014-8141
O OS X Yosemite 10.10.4 inclui o conteúdo de segurança do Safari 8.0.7.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.