Sobre o conteúdo de segurança do OS X Mountain Lion 10.8.5 e a Atualização de Segurança 2013-004
Este documento descreve o conteúdo de segurança do OS X Mountain Lion 10.8.5 e a Atualização de Segurança 2013-004.
Eles podem ser baixados e instalados por meio das preferências Atualização de Software ou em Downloads da Apple.
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Versões de segurança da Apple.
OS X Mountain Lion 10.8.5 e a Atualização de Segurança 2013-004
Apache
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: diversas vulnerabilidades no Apache
Descrição: havia diversas vulnerabilidades no Apache; a mais grave delas pode levar a scripts entre sites. Esses problemas foram resolvidos por meio da atualização do Apache para a versão 2.2.24.
CVE-ID
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: diversas vulnerabilidades no BIND
Descrição: havia diversas vulnerabilidades no BIND; a mais grave delas podia levar à negação de serviço. Esses problemas foram resolvidos atualizando o BIND para a versão 9.8.5-P1. CVE-2012-5688 não afetou os sistemas Mac OS X 10.7.
CVE-ID
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: os certificados raiz foram atualizados
Descrição: vários certificados foram adicionados ou removidos da lista de raízes do sistema. A lista completa de raízes de sistema reconhecidas pode ser visualizada no aplicativo Acesso às Chaves.
ClamAV
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5
Impacto: diversas vulnerabilidades no ClamAV
Descrição: existem diversas vulnerabilidades no ClamAV; a mais grave delas pode levar à execução arbitrária de códigos. Esta atualização resolve os problemas atualizando o ClamAV para a versão 0.97.8.
CVE-ID
CVE-2013-2020
CVE-2013-2021
CoreGraphics
Disponível para: OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: ver um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos
Descrição: ocorria um estouro de buffer no processamento de dados codificados em JBIG2 em arquivos PDF. Esse problema foi resolvido por meio de uma verificação adicional de limites.
CVE-ID
CVE-2013-1025: Felix Groebert, da Google Security Team
ImageIO
Disponível para: OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: ver um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos
Descrição: ocorria um estouro de buffer no processamento de dados codificados JPEG2000 em arquivos PDF. Esse problema foi resolvido por meio de uma verificação adicional de limites.
CVE-ID
CVE-2013-1026: Felix Groebert, da Google Security Team
Installler
Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: os pacotes poderiam ser abertos após a revogação do certificado
Descrição: quando o instalador encontrava um certificado revogado, ele mostrava uma caixa de diálogo com uma opção para continuar. Esse problema foi resolvido com a remoção da caixa de diálogo e a recusa de qualquer pacote revogado.
CVE-ID
CVE-2013-1027
IPSec
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: um invasor pode interceptar dados protegidos com IPSec Hybrid Auth
Descrição: o nome DNS de um servidor IPSec Hybrid Auth não estava sendo correspondido no certificado, permitindo que um invasor com um certificado para qualquer servidor assumisse a personalidade de qualquer outro. Esse problema foi resolvido com a verificação adequada do certificado.
CVE-ID
CVE-2013-1028: Alexander Traud de www.traud.de
Kernel
Disponível para: OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: um usuário de rede local pode causar uma negação de serviço
Descrição: uma verificação incorreta no código de análise de pacotes IGMP no kernel permitiu que um usuário que conseguisse enviar pacotes IGMP ao sistema causasse um kernel panic. Esse problema foi resolvido com a remoção da verificação.
CVE-ID
CVE-2013-1029: Christopher Bohn, da PROTECTSTAR INC.
Mobile Device Management
Impact: Passwords may be disclosed to other local users
Description: A password was passed on the command-line to mdmclient, which made it visible to other users on the same system. The issue was addressed by communicating the password through a pipe.
CVE-ID
CVE-2013-1030 : Per Olofsson at the University of Gothenburg
OpenSSL
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: diversas vulnerabilidades no OpenSSL
Descrição: havia diversas vulnerabilidades no OpenSSL; a mais grave delas podia levar à divulgação de dados do usuário. Esses problemas foram resolvidos com a atualização do OpenSSL para a versão 0.9.8y.
CVE-ID
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: diversas vulnerabilidades no PHP
Descrição: existiam diversas vulnerabilidades no PHP; a mais grave delas podia levar à execução arbitrária de códigos. Esses problemas foram resolvidos por meio da atualização do PHP para a versão 5.3.26.
CVE-ID
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: diversas vulnerabilidades no PostgreSQL
Descrição: existem diversas vulnerabilidades no PostgreSQL; a mais grave delas pode levar à corrupção de dados ou ao escalonamento de privilégios. CVE-2013-1901 não afeta os sistemas OS X Lion. Esta atualização resolve os problemas com a atualização do PostgreSQL para a versão 9.1.9 em sistemas OS X Mountain Lion e a versão 9.0.4 em sistemas OS X Lion.
CVE-ID
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
Disponível para: OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: a proteção de tela pode não iniciar após o período especificado
Descrição: existia um problema de bloqueio de asserção de energia. Esse problema foi resolvido por meio de melhorias no processamento de bloqueios.
CVE-ID
CVE-2013-1031
QuickTime
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: ver um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no processamento de átomos "idsc" em arquivos de filmes do QuickTime. Esse problema foi resolvido por meio de uma verificação adicional de limites.
CVE-ID
CVE-2013-1032: Jason Kratzer, em parceria com a iDefense VCP
Screen Lock
Disponível para: OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: um usuário com acesso de compartilhamento de tela pode conseguir ignorar o bloqueio de tela quando outro usuário está com a sessão iniciada
Descrição: havia um problema de gerenciamento de sessão no processamento do bloqueio de tela em sessões de compartilhamento de tela. Esse problema foi resolvido por meio de melhorias no rastreamentos de estados.
CVE-ID
CVE-2013-1033: Jeff Grisso, da Atos IT Solutions, Sébastien Stormacq
sudo
Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion, do 10.8 ao 10.8.4
Impacto: um invasor com controle de uma conta de usuário administrador pode obter privilégios raiz sem saber a senha do usuário
Descrição: ao definir o relógio do sistema, um invasor pode usar o sudo para obter privilégios raiz em sistemas em que o sudo havia sido usado anteriormente. No OS X, apenas usuários administradores podem alterar o relógio do sistema. Esse problema foi resolvido com a verificação de uma marcação de data/hora inválida.
CVE-ID
CVE-2013-1775
Nota: o OS X Mountain Lion 10.8.5 também resolve um problema em que determinadas strings Unicode podem causar o encerramento inesperado de aplicativos.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.