Sobre o conteúdo de segurança da Atualização do Mac OS X 10.4.7
Este documento descreve o conteúdo de segurança da Atualização do Mac OS X 10.4.7, que pode ser baixado e instalado por meio das preferências Atualização de Software ou pela página Downloads da Apple.
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte Atualizações de Segurança da Apple.
Atualização do Mac OS X 10.4.7
AFP
CVE-ID: CVE-2006-1468
Disponível para: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impacto: nomes de arquivos e pastas podem ser divulgados para usuários não autorizados
Descrição: um problema no servidor AFP permite que os resultados da busca incluam os nomes de arquivos e pastas aos quais o usuário que realiza a busca não tem acesso. Isso poderá causar a divulgação de informações se os próprios nomes forem informações confidenciais. Esta atualização resolve o problema garantindo que os resultados da busca incluam apenas itens para os quais o usuário está autorizado. Este problema não afeta sistemas anteriores ao Mac OS X 10.4.
ClamAV
CVE-ID: CVE-2006-1989
Disponível para: Mac OS X Server 10.4.6
Impacto: quando a verificação de vírus é configurada para atualização automática, um espelho de banco de dados malicioso pode causar a execução arbitrária de códigos
Descrição: um problema na atualização automática do banco de dados de vírus do ClamAV pode resultar em um estouro de buffer de pilha. Um espelho de banco de dados ClamAV malicioso ou falsificado pode causar a execução arbitrária de códigos com os privilégios do ClamAV. O serviço Mail, a verificação de vírus e as atualizações automáticas do banco de dados de vírus estão desativados por padrão. Esta atualização resolve o problema pela inclusão do ClamAV 0.88.2. Este problema não afeta sistemas anteriores ao Mac OS X 10.4.
ImageIO
CVE-ID: CVE-2006-1469
Disponível para: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impacto: a visualização de uma imagem TIFF criada com códigos maliciosos pode resultar na falha do aplicativo ou na execução arbitrária de códigos
Descrição: ao criar cuidadosamente uma imagem TIFF corrompida, um invasor pode acionar um estouro de buffer de pilha que pode resultar em uma falha do aplicativo ou na execução arbitrária de códigos. Esta atualização resolve o problema por meio de uma validação adicional de imagens TIFF. Este problema não afeta sistemas anteriores ao Mac OS X 10.4.
launchd
CVE-ID: CVE-2006-1471
Disponível para: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impacto: usuários locais podem obter privilégios elevados
Descrição: uma vulnerabilidade de string de formato no programa setuid launchd pode permitir que um usuário local autenticado execute código arbitrário com privilégios de sistema. O problema está presente no recurso de registro do launchd. Esta atualização resolve o problema por meio de uma validação adicional ao registrar mensagens. Este problema não afeta sistemas anteriores ao Mac OS X 10.4. Agradecemos a Kevin Finisterre da DigitalMunition por comunicar o problema.
OpenLDAP
CVE-ID: CVE-2006-1470
Disponível para: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Impacto: invasores remotos podem causar falha no servidor Open Directory
Descrição: ao elaborar cuidadosamente uma solicitação LDAP inválida, um invasor remoto pode acionar uma asserção no servidor OpenLDAP, resultando em uma negação de serviço. Esta atualização resolve o problema por meio do descarte da solicitação inválida. Este problema não afeta sistemas anteriores ao Mac OS X 10.4. Agradecemos à equipe de pesquisa da Mu Security por comunicar o problema.