Sobre o conteúdo de segurança da Atualização de segurança 2009-001
Este documento descreve a Atualização de Segurança 2009-001, que pode ser baixada e instalada por meio das preferências "Atualização de Software" ou em "Downloads da Apple".
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".
Atualização de segurança 2009-001
AFP Server
CVE-ID: CVE-2009-0142
Disponível para: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: um usuário com a capacidade de se conectar ao servidor AFP pode disparar uma negação de serviço
Descrição: uma condição de corrida em um servidor AFP pode levar a um loop infinito. A enumeração de arquivos em um servidor AFP pode levar a uma negação de serviço. Esta atualização resolve o problema por meio da lógica aprimorada de enumeração de arquivos. Esse problema afeta apenas os sistemas que executam o Mac OS X 10.5.6.
Apple Pixlet Video
CVE-ID: CVE-2009-0009
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: abrir um filme criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos
Descrição: existe um problema de memória corrompida no processamento de arquivos de filme usando o codec Pixlet. A abertura de arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio de melhorias na verificação de limites. Crédito: Apple.
CarbonCore
CVE-ID: CVE-2009-0020
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: abrir um arquivo com uma bifurcação de recursos criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos
Descrição: existe um problema de memória corrompida no processamento de bifurcações de recursos pelo Resource Manager. Abrir um arquivo com uma bifurcação de recursos criada com códigos maliciosos pode causar interrupção inesperada do aplicativo ou execução arbitrária de códigos. Esta atualização resolve o problema por meio de melhorias na validação de bifurcações de recursos. Crédito: Apple.
CFNetwork
Disponível para: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: restaura a operação adequada de cookies com tempos de expiração nulos
Descrição: esta atualização soluciona uma regressão não relacionada à segurança apresentada no Mac OS X 10.5.6. Os cookies poderão não ser definidos corretamente se um site tentar definir um cookie de sessão fornecendo um valor nulo no campo "expira", em vez de omitir o campo. Esta atualização resolve o problema ignorando o campo "expira" caso ele tenha um valor nulo.
CFNetwork
Disponível para: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: restaura a operação adequada de cookies de sessão em aplicativos
Descrição: esta atualização soluciona uma regressão não relacionada à segurança apresentada no Mac OS X 10.5.6. A CFNetwork poderá não salvar cookies no disco se vários aplicativos abertos tentarem definir cookies de sessão. Esta atualização resolve o problema garantindo que cada aplicativo armazene os próprios cookies de sessão separadamente.
Certificate Assistant
CVE-ID: CVE-2009-0011
Disponível para: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: um usuário local pode manipular arquivos com os privilégios de outro usuário executando o Certificate Assistant
Descrição: existe uma operação de arquivo insegura no processamento de arquivos temporários pelo Certificate Assistant. Isso pode permitir que um usuário local substitua arquivos com os privilégios de outro usuário que esteja executando o Certificate Assistant. Essa atualização soluciona o problema por meio do processamento aprimorado de arquivos temporários. Esse problema não afeta sistemas anteriores ao Mac OS X 10.5. Crédito: Apple.
ClamAV
CVE-ID: CVE-2008-5050, CVE-2008-5314
Disponível para: Mac OS X Server 10.4.11, Mac OS X Server 10.5.6
Impacto: diversas vulnerabilidades no ClamAV 0.94
Descrição: existem diversas vulnerabilidades no ClamAV 0.94; a mais grave delas pode levar à execução arbitrária de códigos. Esta atualização resolve os problemas por meio da atualização do ClamAV para a versão 0.95.2. O ClamAV é distribuído somente com sistemas Mac OS X Server. Mais informações estão disponíveis no site do ClamAV em http://www.clamav.net/
CoreText
CVE-ID: CVE-2009-0012
Disponível para: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: ver conteúdo Unicode criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos
Descrição: pode ocorrer um estouro de buffer de pilha ao processar strings Unicode no CoreText. Usar CoreText para lidar com strings Unicode criadas maliciosamente, como ocorre ao visualizar uma página da web criada com códigos maliciosos, pode resultar no encerramento inesperado do aplicativo ou na execução arbitrária de códigos. Esta atualização resolve o problema por meio de melhorias na verificação de limites. Esse problema não afeta os sistemas anteriores ao Mac OS X 10.5. Agradecemos a Rosyna da Unsanity por comunicar esse problema.
CUPS
CVE-ID: CVE-2008-5183
Disponível para: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo
Descrição: exceder o número máximo de assinaturas RSS resulta em um cancelamento de referência de ponteiro nulo na interface da Web do CUPS. Isso pode levar ao encerramento inesperado do aplicativo ao acessar um site criado com códigos maliciosos. Para desencadear esse problema, as credenciais válidas do usuário devem ser conhecidas pelo invasor ou armazenadas em cache no navegador do usuário. O CUPS será reiniciado automaticamente após o problema ser acionado. Esta atualização resolve o problema gerenciando corretamente o número de assinaturas de RSS. Este problema não afeta sistemas anteriores ao Mac OS X 10.5.
DS Tools
CVE-ID: CVE-2009-0013
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: as senhas fornecidas ao dscl são expostas a outros usuários locais
Descrição: a ferramenta de linha de comando dscl exigia que as senhas fossem passadas para ele em seus argumentos, podendo expor as senhas a outros usuários locais. As senhas expostas incluem aquelas de usuários e administradores. Esta atualização torna o parâmetro de senha opcional, e dscl solicitará a senha, se necessário. Crédito: Apple.
fetchmail
CVE-ID: CVE-2007-4565, CVE-2008-2711
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: diversas vulnerabilidades no fetchmail 6.3.8
Descrição: existem diversas vulnerabilidades no fetchmail 6.3.8, sendo que a mais grave pode levar à negação de serviço. Esta atualização resolve os problemas atualizando para a versão 6.3.9. Mais informações estão disponíveis no site do fetchmail em http://fetchmail.berlios.de/
Folder Manager
CVE-ID: CVE-2009-0014
Disponível para: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: outros usuários locais podem acessar a pasta Downloads
Descrição: existe um problema de permissões padrão no Gerenciador de pastas. Quando um usuário apaga a pasta Downloads e o Gerenciador de pastas a recria, a pasta é criada com permissões de leitura para todos. Esta atualização resolve o problema fazendo com que o Gerenciador de pastas limite as permissões para que a pasta fique acessível somente para o usuário. Esse problema afeta apenas aplicativos que usam o Gerenciador de pastas. Este problema não afeta sistemas anteriores ao Mac OS X 10.5. Agradecemos a Graham Perrin, do CENTRIM, Universidade de Brighton, por comunicar esse problema.
FSEvents
CVE-ID: CVE-2009-0015
Disponível para: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: usando a estrutura FSEvents, um usuário local pode ver atividades do sistema de arquivos que de outra forma não estariam disponíveis
Descrição: existe um problema de gerenciamento de credenciais no fseventsd. Ao usar a estrutura FSEvents, um usuário local pode ver a atividade do sistema de arquivos que de outra forma não estaria disponível. Isso inclui o nome de um diretório que o usuário não conseguiria ver de outra forma e a detecção de atividade no diretório em um determinado momento. Esta atualização resolve o problema por meio de validação de credenciais aprimorada no fseventsd. Esse problema não afeta os sistemas anteriores ao Mac OS X 10.5. Agradecemos a Mark Dalrymple por comunicar esse problema.
Network Time
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: a configuração do serviço Network Time foi atualizada
Descrição: como uma medida de segurança proativa, esta atualização altera a configuração padrão do serviço Network Time. As informações de hora e versão do sistema não estarão mais disponíveis na configuração padrão do ntpd. Nos sistemas Mac OS X 10.4.11, a nova configuração entra em vigor após a reinicialização do sistema quando o serviço Network Time está ativado.
perl
CVE-ID: CVE-2008-1927
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: o uso de expressões regulares contendo caracteres UTF-8 pode levar ao encerramento inesperado do aplicativo ou à execução arbitrária de códigos
Descrição: existe um problema de memória corrompida no processamento de determinados caracteres UTF-8 em expressões regulares. A análise de expressões regulares criadas com códigos maliciosos pode levar ao encerramento inesperado do aplicativo ou à execução arbitrária de códigos. Essa atualização resolve o problema por meio de uma validação adicional de expressões regulares.
IPrinting
CVE-ID: CVE-2009-0017
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: um usuário local pode obter privilégios do sistema
Descrição: existe um problema no processamento de erros no csregprinter, que pode resultar em um estouro de buffer de pilha. Isso pode permitir que um usuário local obtenha privilégios de sistema. Esta atualização resolve o problema por meio do processamento aprimorado de erros. Agradecemos a Lars Haulin por comunicar esse problema.
python
CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: diversas vulnerabilidades no python
Descrição: existem diversas vulnerabilidades no python; a mais grave delas pode causar a execução arbitrária de códigos. Esta atualização resolve os problemas por meio da aplicação de patches (correções) do projeto python.
Remote Apple Events
CVE-ID: CVE-2009-0018
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: o envio dos Remote Apple Events pode causar a divulgação de informações confidenciais
Descrição: existe um problema de buffer não inicializado no servidor Remote Apple Events, o que pode levar à divulgação do conteúdo da memória para clientes da rede. Esta atualização resolve o problema por meio da inicialização adequada da memória. Crédito: Apple.
Remote Apple Events
CVE-ID: CVE-2009-0019
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: a ativação do Remote Apple Events pode causar o encerramento inesperado do aplicativo ou a divulgação de informações confidenciais
Descrição: existe um acesso de memória fora dos limites no Remote Apple Events. A ativação de Remote Apple Events pode causar o encerramento inesperado do aplicativo ou a divulgação de informações confidenciais aos clientes da rede. Esta atualização resolve o problema por meio de melhorias na verificação de limites. Crédito: Apple.
Safari RSS
CVE-ID: CVE-2009-0137
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: acessar um site projetado com um URL "feed:" criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: existem vários problemas de validação de entradas no processamento que o Safari faz dos URLs "feed:". Os problemas permitem a execução de JavaScript arbitrário na zona de segurança local. Esta atualização resolve os problemas por meio de melhorias no processamento de JavaScript incorporado em URLs "feed:". Agradecemos a Clint Ruoho, da Laconic Security, Billy Rios, da Microsoft, e Brian Mastenbrook por comunicar esses problemas.
servermgrd
CVE-ID: CVE-2009-0138
Disponível para: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: invasores remotos podem acessar o Server Manager sem credenciais válidas
Descrição: um problema na validação de credenciais de autenticação do Server Manager pode permitir que um invasor remoto altere a configuração do sistema. Esta atualização resolve o problema por meio da validação adicional das credenciais de autenticação. Esse problema não afeta sistemas anteriores ao Mac OS X 10.5. Crédito: Apple.
SMB
CVE-ID: CVE-2009-0139
Disponível para: Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: conectar-se a um sistema de arquivos SMB criado com códigos maliciosos pode causar o encerramento inesperado do sistema ou a execução arbitrária de códigos com privilégios de sistema
Descrição: um estouro de inteiro no sistema de arquivos SMB pode resultar em um estouro de buffer de pilha. A conexão a um sistema de arquivos SMB criado com códigos maliciosos pode causar o encerramento inesperado do sistema ou a execução arbitrária de códigos com privilégios de sistema. Esta atualização resolve o problema por meio de melhorias na verificação de limites. Esse problema não afeta sistemas anteriores ao Mac OS X 10.5. Crédito: Apple.
SMB
CVE-ID: CVE-2009-0140
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: a conexão a um servidor de arquivos SMB criado com códigos maliciosos pode levar ao encerramento inesperado do sistema
Descrição: existe um problema de exaustão de memória no processamento que o sistema de arquivos SMB faz de nomes de sistemas de arquivos. A conexão a um servidor de arquivos SMB criado com códigos maliciosos pode causar o encerramento inesperado do sistema. Esta atualização resolve o problema limitando a quantidade de memória alocada pelo cliente para nomes de sistemas de arquivos. Crédito: Apple.
SquirrelMail
CVE-ID: CVE-2008-2379, CVE-2008-3663
Disponível para: Mac OS X Server 10.4.11, Mac OS X Server 10.5.6
Impacto: várias vulnerabilidades no SquirrelMail
Descrição: o SquirrelMail foi atualizado para a versão 1.4.17 para solucionar várias vulnerabilidades; a mais grave delas é uma vulnerabilidade cruzada problema de script do site. Mais informações estão disponíveis no site do SquirrelMail em http://www.SquirrelMail.org/
X11
CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: várias vulnerabilidades no servidor X11
Descrição: existem várias vulnerabilidades no servidor X11. A mais séria delas pode levar à execução arbitrária de códigos com os privilégios do usuário que executa o servidor X11, caso o invasor consiga se autenticar no servidor X11. Esta atualização resolve os problemas aplicando os patches X.Org atualizados. Mais informações estão disponíveis no site da X.Org em http://www.x.org/wiki/Development/Security
X11
CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Impacto: várias vulnerabilidades no FreeType 2.1.4
Descrição: existem várias vulnerabilidades no FreeType v2.1.4; a mais grave delas pode causar a execução arbitrária de códigos ao processar uma fonte criada com códigos maliciosos. Esta atualização resolve o problema ao incorporar as correções de segurança da versão 2.3.6 da FreeType. Mais informações estão disponíveis no site da FreeType em http://www.freetype.org/ Os problemas já foram resolvidos em sistemas que executam o Mac OS X 10.5.6.
X11
CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667
Disponível para: Mac OS X 10 .4.11, Mac OS X Server 10.4.11
Impacto: várias vulnerabilidades no LibX11
Descrição: existem várias vulnerabilidades no LibX11; a mais séria delas pode causar a execução arbitrária de códigos ao processar uma fonte criada com códigos maliciosos. Esta atualização resolve os problemas aplicando os patches X.Org atualizados. Mais informações estão disponíveis no site da X.Org em http://www.x.org/wiki/Development/Security Esses problemas não afetam sistemas que executam o Mac OS X 10.5 ou posterior.
XTerm
CVE-ID: CVE-2009-0141
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Impacto: um usuário local pode enviar informações diretamente para o Xterm de outro usuário
Descrição: existe um problema de permissões no Xterm. Quando usado com luit, o Xterm cria dispositivos tty acessíveis a todos. Esta atualização resolve o problema fazendo com que o Xterm limite as permissões para que os dispositivos tty sejam acessíveis apenas pelo usuário.
Importante: a menção a sites e produtos de terceiros tem fins somente informativos e não constitui aprovação nem recomendação. A Apple não assume responsabilidade pela seleção, pelo desempenho nem pelo uso de informações ou produtos disponíveis em sites de terceiros. A Apple fornece essas informações somente como cortesia para os usuários. A Apple não testou as informações disponíveis nesses sites e não garante sua precisão ou confiabilidade. O uso de quaisquer informações ou produtos disponíveis na Internet implica riscos, pelos quais a Apple não se responsabiliza. É importante compreender que sites de terceiros são independentes da Apple e que a Apple não tem controle sobre o conteúdo neles exibido. Entre em contato com o fornecedor para obter mais informações.