Sobre o conteúdo de segurança do OS X Yosemite 10.10.5 e Atualização de Segurança 2015-006
Este documento descreve o conteúdo de segurança do OS X Yosemite 10.10.5 e Atualização de Segurança 2015-006.
Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.
Para obter mais informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte Atualizações de Segurança da Apple.
OS X Yosemite 10.10.5 e Atualização de Segurança 2015-006
apache
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: havia diversas vulnerabilidades no Apache 2.4.16, sendo a mais grave a que permitia que um invasor externo causasse uma negação de serviço.
Descrição: havia diversas vulnerabilidades nas versões do Apache anteriores à 2.4.16 que foram solucionadas com a atualização para a versão 2.4.16.
ID de CVE
CVE-2014-3581
CVE-2014-3583
CVE-2014-8109
CVE-2015-0228
CVE-2015-0253
CVE-2015-3183
CVE-2015-3185
apache_mod_php
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: havia diversas vulnerabilidades no PHP 5.5.20, sendo que a mais grave delas podia levar à execução arbitrária de códigos.
Descrição: havia diversas vulnerabilidades nas versões do PHP anteriores à 5.5.20 que foram solucionadas com a atualização do Apache para a versão 5.5.27.
ID de CVE
CVE-2015-2783
CVE-2015-2787
CVE-2015-3307
CVE-2015-3329
CVE-2015-3330
CVE-2015-4021
CVE-2015-4022
CVE-2015-4024
CVE-2015-4025
CVE-2015-4026
CVE-2015-4147
CVE-2015-4148
Plug-in OD do ID Apple
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um aplicativo malicioso pode alterar a senha de um usuário local
Descrição: em algumas circunstâncias, havia um problema de gerenciamento de estado na autenticação de senha. O problema foi resolvido por meio de melhorias no gerenciamento de estado.
ID de CVE
CVE-2015-3799 : um pesquisador anônimo que trabalha na Zero Day Initiative da HP
AppleGraphicsControl
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema no AppleGraphicsControl que podia levar à divulgação do layout de memória do kernel. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-5768: JieTao Yang, da KeenTeam
Bluetooth
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema
Descrição: havia um problema de memória corrompida no IOBluetoothHCIController. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-3779: Teddy Reed, da Facebook Security
Bluetooth
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel
Descrição: um problema de gerenciamento de memória pode levar à divulgação do layout de memória do kernel. Esse problema foi solucionado com melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-3780: Roberto Paleari e Aristide Fattori, da Emaze Networks
Bluetooth
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um app malicioso pode acessar as notificações de outros dispositivos iCloud
Descrição: havia um problema em que um app malicioso podia acessar as notificações da Central de Notificações de um Mac ou dispositivo iOS emparelhado por Bluetooth com outro dispositivo por meio do serviço da Central de Notificações da Apple. O problema afetou dispositivos que usavam o Handoff e estavam conectados na mesma conta do iCloud. Esse problema foi resolvido ao revogar o acesso ao Apple Notification Center Service.
ID de CVE
CVE-2015-3786: Xiaolong Bai (Universidade Tsinghua), System Security Lab (Universidade de Indiana), Tongxin Li (Universidade de Beijing), XiaoFeng Wang (Universidade de Indiana)
Bluetooth
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um invasor com posição de rede privilegiada pode executar ataque de negação de serviço usando pacotes Bluetooth inválidos
Descrição: havia um problema de validação de entrada na análise de pacotes ACL Bluetooth. Esse problema foi solucionado por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-3787: Trend Micro
Bluetooth
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um invasor externo pode encerrar aplicativos inesperadamente ou executar códigos arbitrariamente
Descrição: havia vários problemas de estouros de buffer no processamento do blued de mensagens XPC. Esses problemas foram solucionados através de melhorias na verificação de limites.
ID de CVE
CVE-2015-3777: mitp0sh, do [PDX]
bootp
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: uma rede Wi-Fi maliciosa pode descobrir redes que um dispositivo acessou anteriormente
Descrição: ao se conectar a uma rede Wi-Fi, o iOS pode ter transmitido endereços MAC de redes anteriormente acessados por meio do protocolo DNAv4. Esse problema foi solucionado por meio da desativação do DNAv4 em redes Wi-Fi não criptografadas.
ID de CVE
CVE-2015-3778: Piers O'Hanlon, da Oxford Internet Institute, Universidade de Oxford (no projeto EPSRC Being There)
CloudKit
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um aplicativo malicioso pode acessar o registro de usuário do iCloud de um usuário conectado anteriormente
Descrição: havia uma inconsistência de estado no CloudKit desconectar usuários. Esse problema foi resolvido por meio da melhoria do processamento de estado.
ID de CVE
CVE-2015-3782: Deepkanwal Plaha, da Universidade de Toronto
CoreMedia Playback
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia problemas de memória corrompida no CoreMedia Playback. Esses problemas foram solucionados por meio de melhorias no processamento de memória.
ID de CVE
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-5761: John Villamil (@day6reak), equipe Yahoo Pentest
CoreText
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-5755: John Villamil (@day6reak), equipe Yahoo Pentest
curl
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: havia diversas vulnerabilidades no cURL e libcurl antes da versão 7.38.0 que podiam permitir que invasores externos ignorassem a política de mesma origem.
Descrição: havia diversas vulnerabilidades no cURL e libcurl antes da versão 7.38.0 que foram solucionadas com a atualização para a versão 7.43.0.
ID de CVE
CVE-2014-3613
CVE-2014-3620
CVE-2014-3707
CVE-2014-8150
CVE-2014-8151
CVE-2015-3143
CVE-2015-3144
CVE-2015-3145
CVE-2015-3148
CVE-2015-3153
Mecanismo Detectores de Dados
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de uma sequência de caracteres unicode pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: problemas de memória corrompida ocorriam no processamento de caracteres Unicode. Esses problemas foram solucionados por meio de melhorias no processamento de memória.
ID de CVE
CVE-2015-5750: M1x7e1, da equipe Safeye (www.safeye.org)
painel de preferência Data e Hora
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: aplicativos que se baseiam na hora do sistema podem ter um comportamento inesperado
Descrição: havia um problema de autorização ao modificar as preferências de data e hora do sistema. Esse problema foi solucionado com verificações de autorização adicionais.
ID de CVE
CVE-2015-3757: Mark S C Smith
Aplicativo Dicionário
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um invasor com uma posição de rede privilegiada pode interceptar consultas de usuários do app Dicionário
Descrição: havia um problema no app Dicionário que não protegia corretamente as comunicações de usuário. Esse problema foi resolvido movendo as consultas do Dicionário para HTTPS.
ID de CVE
CVE-2015-3774: Jeffrey Paul, da EEQJ, Jan Bee, da Equipe do Google Security
DiskImages
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de um arquivo DMG criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos com privilégios de sistema
Descrição: havia um problema de memória corrompida na análise de imagens DMG inválidas. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-3800: Frank Graziano, da equipe Yahoo Pentest
dyld
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema
Descrição: havia um problema de validação de caminho do dyld. Isso foi solucionado por meio de melhorias limpeza do ambiente.
ID de CVE
CVE-2015-3760: beist de grayhash, Stefan Esser
FontParser
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-3804: Apple
CVE-2015-5775: Apple
FontParser
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-5756: John Villamil (@day6reak), equipe Yahoo Pentest
groff
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: vários problemas no pdfroff
Descrição: havia vários problemas no pdfroff, sendo que o mais grave deles permitia a modificação arbitrária do sistema de arquivos. Esses problemas foram solucionados por meio da remoção do pdfroff.
ID de CVE
CVE-2009-5044
CVE-2009-5078
ImageIO
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no processamento de imagens TIFF. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-5758: Apple
ImageIO
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: acessar um site criado com códigos maliciosos pode resultar na divulgação da memória do processo
Descrição: havia um problema de acesso à memória não inicializada durante o processamento de imagens PNG e TIFF pelo ImageIO. Acessar um site malicioso pode resultar no envio de dados da memória do processo para o site. Esse problema foi solucionado por meio de melhorias na inicialização de memória e validação adicional de imagens PNG e TIFF.
ID de CVE
CVE-2015-5781: Michal Zalewski
CVE-2015-5782: Michal Zalewski
Install Framework antigo
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um aplicativo malicioso pode conseguir executar códigos arbitrariamente com privilégios de raiz
Descrição: havia um problema no modo como o "executor" do Install.framework reduzia privilégios. Esse problema foi resolvido por meio de melhorias no gerenciamento de privilégios.
ID de CVE
CVE-2015-5784: Ian Beer, do Google Project Zero
Install Framework antigo
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um aplicativo malicioso pode executar códigos arbitrariamente com privilégios de sistema
Descrição: havia um problema de condição de corrida no binário de execução do Install.framework que resultava na redução incorreta de privilégios. Esse problema foi solucionado por meio da melhoria do bloqueio de objetos.
ID de CVE
CVE-2015-5754: Ian Beer, do Google Project Zero
IOFireWireFamily
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema
Descrição: problemas de memória corrompida ocorriam no IOFireWireFamily. Esses problemas foram solucionados por meio de validação adicional de entrada.
ID de CVE
CVE-2015-3769: Ilja van Sprundel
CVE-2015-3771: Ilja van Sprundel
CVE-2015-3772: Ilja van Sprundel
IOGraphics
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um aplicativo malicioso pode executar códigos arbitrariamente com privilégios de sistema
Descrição: havia um problema de memória corrompida no IOGraphics. Esse problema foi solucionado por meio de validação adicional de entrada.
ID de CVE
CVE-2015-3770: Ilja van Sprundel
CVE-2015-5783: Ilja van Sprundel
IOHIDFamily
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema
Descrição: havia um estouro de buffer em IOHIDFamily. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-5774: equipe TaiG Jailbreak
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema na interface mach_port_space_info, o que podia levar à divulgação do layout de memória do kernel. Isso foi solucionado com a desativação da interface mach_port_space_info.
ID de CVE
CVE-2015-3766: Cererdlong, da equipe da Alibaba Mobile Security, @PanguTeam
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um aplicativo malicioso pode executar códigos arbitrariamente com privilégios de sistema
Descrição: ocorre uma sobrecarga de inteiros durante o processamento das funções de IOKit. Esse problema foi solucionado pela validação aprimorada de argumentos da API IOKit.
ID de CVE
CVE-2015-3768: Ilja van Sprundel
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um usuário local pode causar uma negação de serviço do sistema
Descrição: havia um problema de esgotamento de recursos no driver fasttrap. Esse problema foi solucionado por meio de melhorias no gerenciamento de memória.
ID de CVE
CVE-2015-5747: Maxime VILLARD, do m00nbsd
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um usuário local pode causar uma negação de serviço do sistema
Descrição: havia um problema de validação durante a montagem dos volumes HFS. Isso foi solucionado por meio de verificações adicionais.
ID de CVE
CVE-2015-5748: Maxime VILLARD, do m00nbsd
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um aplicativo malicioso pode conseguir executar código não assinado
Descrição: havia um problema que permitia a um código não assinado ser adicionado à assinatura de código em um arquivo executável especialmente criado. Esse problema foi resolvido por meio da melhoria da validação da assinatura do código.
ID de CVE
CVE-2015-3806: equipe TaiG Jailbreak
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um arquivo executável especialmente criado pode permitir que códigos maliciosos e não assinados sejam executado
Descrição: havia um problema no modo como arquivos executáveis multiarquitetura eram avaliados, o que poderia ter permitido a execução de código não assinado. Esse problema foi solucionado por meio de melhorias na validação de arquivos executáveis.
ID de CVE
CVE-2015-3803: equipe TaiG Jailbreak
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um usuário local pode executar código não assinado
Descrição: havia um problema de validação no processamento de arquivos Mach-O. Isso foi solucionado por meio de verificações adicionais.
ID de CVE
CVE-2015-3802: equipe TaiG Jailbreak
CVE-2015-3805: equipe TaiG Jailbreak
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: analisar um plist criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos com privilégios de sistema
Descrição: havia um corrompimento de memória no processamento de plists inválidos. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-3776: Teddy Reed, do Facebook Security, Patrick Stein (@jollyjinx), da Jinx Germany
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema
Descrição: havia um problema de validação de caminho. Isso foi solucionado por meio de melhorias limpeza do ambiente.
ID de CVE
CVE-2015-3761: Apple
Libc
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de um arquivo de expressão regular criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos
Descrição: havia problemas de memória corrompida na biblioteca TRE. Esses problemas foram solucionados por meio de melhorias no processamento de memória.
ID de CVE
CVE-2015-3796: Ian Beer, do Google Project Zero
CVE-2015-3797: Ian Beer, do Google Project Zero
CVE-2015-3798: Ian Beer, do Google Project Zero
Libinfo
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: um invasor externo pode conseguir encerrar aplicativos inesperadamente ou executar códigos arbitrariamente
Descrição: havia problemas de memória corrompida no processamento de soquetes AF_INET6. Eles foram solucionados por meio de melhorias no processamento de memória.
ID de CVE
CVE-2015-5776: Apple
libpthread
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um aplicativo malicioso pode executar códigos arbitrariamente com privilégios de sistema
Descrição: havia um problema de memória corrompida no processamento de syscalls. Esse problema foi solucionado por meio da melhoria da verificação de estado bloqueado.
ID de CVE
CVE-2015-5757: Lufeng Li, do Qihoo 360
libxml2
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: havia diversas vulnerabilidades em versões do libxml2 anteriores à 2.9.2, sendo a mais grave a que podia permitir que um invasor externo causasse uma negação de serviço
Descrição: havia diversas vulnerabilidades em versões do libxml2 anteriores à 2.9.2 que foram solucionadas com a atualização para a versão 2.9.2 do libxml2.
ID de CVE
CVE-2012-6685: Felix Groebert, do Google
CVE-2014-0191: Felix Groebert, do Google
libxml2
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: a análise de um documento XML criado com códigos maliciosos pode levar à divulgação de informações do usuário
Descrição: havia um problema de acesso de memória no libxml2. Isso foi solucionado por meio de melhorias no processamento de memória
ID de CVE
CVE-2014-3660: Felix Groebert, do Google
libxml2
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: a análise de um documento XML criado com códigos maliciosos pode levar à divulgação de informações do usuário
Descrição: havia um problema de memória corrompida na análise de arquivos XML. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-3807: Apple
libxpc
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um aplicativo malicioso pode executar códigos arbitrariamente com privilégios de sistema
Descrição: havia um problema de memória corrompida no processamento de mensagens XPC inválidas. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-3795: Mathew Rowley
mail_cmds
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um usuário local pode conseguir executar comandos do shell arbitrariamente
Descrição: havia um problema de validação na análise mailx de endereços de e-mail. Isso foi solucionado por meio da melhorias na sanitização.
ID de CVE
CVE-2014-7844
Central de Notificações do OS X
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um aplicativo malicioso pode acessar todas as notificações anteriormente exibidas para os usuários
Descrição: havia um problema na Central de Notificações que não apagava corretamente as notificações do usuário. Esse problema foi solucionado pelo apagamento correto das notificações descartadas pelos usuários.
ID de CVE
CVE-2015-3764: Jonathan Zdziarski
ntfs
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema
Descrição: havia um problema de memória corrompida em NTFS. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-5763: Roberto Paleari e Aristide Fattori, da Emaze Networks
OpenSSH
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: invasores externos podem contornar um tempo de espera de tentativas frustradas de início de sessão e realizar ataques de força bruta
Descrição: havia um problema ao processar dispositivos que interagem com teclados. Esse problema foi solucionado por meio de melhorias na validação de solicitação de autenticação.
ID de CVE
CVE-2015-5600
OpenSSL
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: havia várias vulnerabilidades em versões do OpenSSL anteriores à 0.9.8zg, sendo a mais grave a que podia permitir que um invasor externo causasse uma negação de serviço.
Descrição: havia várias vulnerabilidades em versões do OpenSSL anteriores à 0.9.8zg. Elas foram solucionadas com a atualização do OpenSSL para a versão 0.9.8zg.
ID de CVE
CVE-2015-1788
CVE-2015-1789
CVE-2015-1790
CVE-2015-1791
CVE-2015-1792
perl
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de uma expressão regular criada com códigos maliciosos pode levar à divulgação de encerramentos inesperados de aplicativos ou à execução arbitrária de códigos
Descrição: havia um problema de estouro de inteiro no modo como o Perl analisava expressões regulares. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2013-7422
PostgreSQL
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: um invasor pode causar o encerramento inesperado de aplicativos ou acessar os dados sem autenticação apropriada
Descrição: havia vários problemas no PostgreSQL 9.2.4 que foram solucionados com a atualização para a versão 9.2.13.
ID de CVE
CVE-2014-0067
CVE-2014-8161
CVE-2015-0241
CVE-2015-0242
CVE-2015-0243
CVE-2015-0244
python
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: havia diversas vulnerabilidades no Python 2.7.6, sendo que a mais grave delas podia causar a execução arbitrária de códigos
Descrição: havia diversas vulnerabilidades em versões do Python anteriores à 2.7.6 que foram solucionadas com a atualização para a versão 2.7.10.
ID de CVE
CVE-2013-7040
CVE-2013-7338
CVE-2014-1912
CVE-2014-7185
CVE-2014-9365
QL Office
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de um documento do Microsoft Office criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia um problema de memória corrompida na análise de documentos do Office. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-5773: Apple
QL Office
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode levar à divulgação de informações do usuário
Descrição: havia um problema de referência à Entidade Externa na análise do arquivo XML. Esse problema foi solucionado por meio de melhorias no processamento.
ID de CVE
CVE-2015-3784: Bruno Morisson, da INTEGRITY S.A.
Estrutura Quartz Composer
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de um arquivo do QuickTime criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos
Descrição: havia um problema de memória corrompida na análise de arquivos QuickTime. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-5771: Apple
Visualização Rápida
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: a busca por site visto anteriormente pode iniciar o navegador da web e renderizar esse site
Descrição: havia um problema no qual o QuickLook tem a capacidade de executar o JavaScript. O problema foi solucionado desativando a execução do JavaScript.
ID de CVE
CVE-2015-3781: Andrew Pouliot, do Facebook, Anto Loyola, da Qubole
QuickTime 7
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de um arquivo criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos
Descrição: havia vários problemas de memória corrompida no QuickTime. Esses problemas foram solucionados por meio de melhorias no processamento de memória.
ID de CVE
CVE-2015-3772
CVE-2015-3779
CVE-2015-5753: Apple
CVE-2015-5779: Apple
QuickTime 7
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de um arquivo criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos
Descrição: havia vários problemas de memória corrompida no QuickTime. Esses problemas foram solucionados por meio de melhorias no processamento de memória.
ID de CVE
CVE-2015-3765: Joe Burnett, da Audio Poison
CVE-2015-3788: Ryan Pentney and Richard Johnson, da Cisco Talos
CVE-2015-3789: Ryan Pentney e Richard Johnson, da Cisco Talos
CVE-2015-3790: Ryan Pentney e Richard Johnson, da Cisco Talos
CVE-2015-3791: Ryan Pentney e Richard Johnson, da Cisco Talos
CVE-2015-3792: Ryan Pentney e Richard Johnson, da Cisco Talos
CVE-2015-5751: WalkerFuz
SceneKit
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: visualizar um arquivo Collada malicioso pode resultar na execução arbitrária de códigos
Descrição: havia um estouro de buffer de pilha no processamento de arquivos Collada pelo SceneKit. Esse problema foi solucionado por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-5772: Apple
SceneKit
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4
Impacto: um invasor externo pode conseguir encerrar aplicativos inesperadamente ou executar códigos arbitrariamente
Descrição: havia um problema de memória corrompida no SceneKit. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-3783: Haris Andrianakis, da equipe do Google Security
Segurança
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um usuário padrão pode obter acesso a privilégios de administrador sem a autenticação correta
Descrição: havia um problema no processamento de autenticação do usuário. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-3775: [Eldon Ahrold]
SMBClient
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: um invasor externo pode conseguir encerrar aplicativos inesperadamente ou executar códigos arbitrariamente
Descrição: havia um problema de memória corrompida no cliente SMB. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-3773: Ilja van Sprundel
Interface de fala
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: a análise de uma sequência de caracteres unicode criada com códigos maliciosos e que tem alertas para fala ativados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no processamento de sequência de caracteres Unicode. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-3794: Adam Greenbaum, da Refinitive
sudo
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: havia diversas vulnerabilidades em versões do sudo anteriores à 1.7.10p9, sendo a mais grave a que podia permitir que um invasor tivesse acesso a arquivos arbitrários
Descrição: havia diversas vulnerabilidades em versões do sudo anteriores à 1.7.10p9. Elas foram solucionadas com a atualização para a versão 1.7.10p9.
ID de CVE
CVE-2013-1775
CVE-2013-1776
CVE-2013-2776
CVE-2013-2777
CVE-2014-0106
CVE-2014-9680
tcpdump
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: havia diversas vulnerabilidades no tcpdump 4.7.3, sendo a mais grave a que podia permitir que um invasor externo causasse uma negação de serviço.
Descrição: havia diversas vulnerabilidades em versões do tcpdump anteriores à 4.7.3 que foram solucionadas com a atualização para a versão 4.7.3.
ID de CVE
CVE-2014-8767
CVE-2014-8769
CVE-2014-9140
Formatos de texto
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: a análise de um arquivo de texto criado com códigos maliciosos pode levar à divulgação de informações do usuário
Descrição: havia um problema de referência à Entidade Externa XML na análise do Editor de Texto. Esse problema foi solucionado por meio de melhorias no processamento.
ID de CVE
CVE-2015-3762: Xiaoyong Wu, da equipe Evernote Security
udf
Disponível para: OS X Yosemite 10.10 a 10.10.4
Impacto: o processamento de um arquivo DMG criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos com privilégios de sistema
Descrição: havia um problema de memória corrompida na análise de imagens DMG inválidas. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-3767: beist, da grayhash
O OS X Yosemite 10.10.5 inclui o conteúdo de segurança do Safari 8.0.8.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.