Sobre o conteúdo de segurança da Atualização de Segurança 2009-003 e do Mac OS X 10.5.8

Este documento descreve o conteúdo de segurança da Atualização de Segurança 2009-003 e do Mac OS X 10.5.8, que pode ser baixado e instalado por meio das preferências "Atualização de Software" ou em "Downloads da Apple".

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

Atualização de Segurança 2009-003 e do Mac OS X 10.5.8

  • bzip2

    CVE-ID: CVE-2008-1372

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 a 10.5.7, Mac OS X Server 10.5 a 10.5.7

    Impacto: A descompactação de dados desenvolvidos com códigos mal-intencionados pode resultar no encerramento inesperado de aplicativos

    Descrição: Há acesso proibido à memória no bzip2. Abrir um arquivo compactado desenvolvido com códigos mal-intencionados pode resultar no encerramento inesperado de aplicativos. Essa atualização soluciona o problema ao atualizar o bzip2 para a versão 1.0.5. Mais informações estão disponíveis no site do bzip2, http://bzip.org/

  • CFNetwork

    CVE-ID: CVE-2009-1723

    Available for: Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: Um site desenvolvido com códigos mal-intencionados pode controlar o URL de site exibido em um aviso de certificação

    Descrição: Quando o Safari chega a um site via redirecionamento 302 e o aviso de certificação é exibido, o aviso conterá o URL original do site em vez do URL atual do site. Isso talvez permita que um site desenvolvido com códigos mal-intencionados seja aberto via redirecionador aberto em um site confiável do usuário para controlar o URL de site exibido em um aviso de certificação. Esse problema foi solucionado ao retornar ao URL correto na camada de CFNetwork básica. Esse problema não afeta sistemas anteriores ao Mac OS X versão 10.5. Agradecemos a Kevin Day da Your.Org, e Jason Mueller da Universidade de Indiana por comunicarem o problema.

  • ColorSync

    CVE-ID: CVE-2009-1726

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: Visualizar uma imagem desenvolvida com códigos mal-intencionados com um perfil ColorSync incorporado pode resultar no encerramento inesperado de aplicativos ou na execução arbitrária de códigos

    Descrição: Há transbordamento de dados de pilha ao processar imagens com perfil ColorSync incorporado. Abrir uma imagem criada com códigos maliciosos com um perfil ColorSync incorporado pode resultar no encerramento inesperado do aplicativo ou na execução arbitrária de códigos. Esta atualização resolve o problema por meio de uma validação adicional de perfis ColorSync. Agradecemos a Chris Evans da Equipe de segurança do Google por comunicar o problema.

  • CoreTypes

    CVE-ID: CVE-2009-1727

    Disponível para: Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: Usuários não são avisados antes de abrirem determinados tipos de conteúdo possivelmente não-seguros

    Descrição: Essa atualização estende a lista de tipos de conteúdo do sistema que serão sinalizados como possivelmente não-seguros sob determinadas circunstâncias, como, por exemplo, quando são transferidos de uma página da Web. Enquanto esses tipos de conteúdo não são abertos automaticamente, se forem abertos manualmente, poderiam gerar a execução de uma carga útil JavaScript mal-intencionada. Essa atualização melhora a habilidade do sistema de comunicar os usuários antes do processamento de tipos de conteúdo usados pelo Safari. Agradecemos a Brian Mastenbrook e Clint Ruoho da Laconic Security por comunicarem o problema.

  • Dock

    CVE-ID: CVE-2009-0151

    Disponível para: Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: Uma pessoa com acesso físico a um sistema bloqueado pode usar movimentos de quatro toques no Multi-Touch

    Descrição: O protetor de tela não bloqueia os movimentos de quatro toques no Multi-touch, o que pode permitir que a pessoa com acesso físico a um sistema bloqueado gerencie aplicativos ou utilize o Expose. Essa atualização soluciona o problema ao bloquear adequadamente os movimentos do Multi-Touch quando o protetor de tela está sendo executado. Esse problema afeta somente sistemas com trackpad Multi-Touch.

  • Image RAW

    CVE-ID: CVE-2009-1728

    Disponível para: Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: A visualização de uma imagem Canon RAW desenvolvida com códigos mal-intencionados pode resultar no encerramento inesperado de aplicativos ou na execução arbitrária de códigos

    Descrição: Há transbordamento de dados de pilha durante o processamento de imagens Canon RAW. A visualização de uma imagem Canon RAW desenvolvida com códigos mal-intencionados pode resultar no encerramento inesperado de aplicativos ou na execução arbitrária de códigos. Esta atualização resolve o problema por meio de melhorias na verificação de limites. Para os sistemas Mac OS X versão 10.4, esse problema já é solucionado com a Atualização 2.6 de Compatibilidade com Câmera Digital RAW. Agradecemos a Chris Ries da Carnegie Mellon University Computing Services por comunicar esse problema.

  • ImageIO

    CVE-ID: CVE-2009-1722

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: A visualização de uma imagem OpenEXR desenvolvida com códigos mal-intencionado pode resultar no encerramento inesperado de aplicativos ou na execução arbitrária de códigos

    Descrição: Há transbordamento de dados de pilha quando o ImageIO processa imagens OpenEXR. A visualização de uma imagem OpenEXR desenvolvida com códigos mal-intencionados pode resultar no encerramento inesperado do aplicativo ou na execução arbitrária de códigos. Essa atualização soluciona o problema ao atualizar o OpenEXR para a versão 1.6.1. Agradecemos a Lurene Grenier da Sourcefire VRT e a Chris Ries da Carnegie Mellon University Computing Services por comunicarem o problema.

  • ImageIO

    CVE-ID: CVE-2009-1721

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: A visualização de uma imagem OpenEXR desenvolvida com códigos mal-intencionado pode resultar no encerramento inesperado de aplicativos ou na execução arbitrária de códigos

    Descrição: Há problema de acesso não-inicializado à memória quando o ImageIO processa imagens OpenEXR. A visualização de uma imagem OpenEXR desenvolvida com códigos mal-intencionados pode resultar no encerramento inesperado do aplicativo ou na execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma inicialização de memória adequada e validação adicional de imagens OpenEXR. Crédito: Apple.

  • ImageIO

    CVE-ID: CVE-2009-1720

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: A visualização de uma imagem OpenEXR desenvolvida com códigos mal-intencionado pode resultar no encerramento inesperado de aplicativos ou na execução arbitrária de códigos

    Descrição: Há acondicionamento múltiplo quando o ImageIO processa imagens OpenEXR. A visualização de uma imagem OpenEXR desenvolvida com códigos mal-intencionados pode resultar no encerramento inesperado do aplicativo ou na execução arbitrária de códigos. Esta atualização resolve o problema por meio de melhorias na verificação de limites. Crédito: Apple.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Disponível para: Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: A visualização de uma imagem desenvolvida com códigos mal-intencionados pode resultar no encerramento inesperado de aplicativos ou na execução arbitrária de códigos.

    Descrição: Há transbordamento de dados quando o ImageIO processa metadados EXIF. A visualização de uma imagem criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio de melhorias na verificação de limites. Este problema não afeta sistemas anteriores ao Mac OS X 10.5.

  • ImageIO

    CVE-ID: CVE-2009-0040

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: O processamento de uma imagem PNG desenvolvida com códigos mal-intencionados pode resultar no encerramento inesperado de aplicativos ou na execução arbitrária de códigos

    Descrição: Há problema de ponteiro não-inicializado durante o processamento de imagens PNG. O processamento de uma imagem PNG desenvolvida com códigos mal-intencionados pode resultar no encerramento inesperado de aplicativos ou na execução arbitrária de códigos. Esta atualização soluciona o problema ao executar uma validação adicional de imagens PNG. Agradecemos a Tavis Ormandy da Equipe de segurança do Google por comunicar o problema.

  • Kernel

    CVE-ID: CVE-2009-1235

    Disponível para: Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: Um usuário local pode obter privilégios de sistema

    Descrição: Há problema de implementação quando o kernel processa ligações de sistema fcntl. Um usuário local pode sobregravar a memória do kernel e executar códigos arbitrários com os privilégios do sistema. Essa atualização soluciona o problema por meio do processamento aperfeiçoado das ligações de sistema fcntl. Agradecemos a Razvan Musaloiu-E. da Johns Hopkins University, HiNRG por comunicar o problema.

  • launchd

    CVE-ID: CVE-2009-2190

    Disponível para: Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: A abertura de muitas conexões com um serviço launchd inetd pode resultar na negação de serviço

    Descrição: A abertura de muitas conexões com serviço launchd inetd pode fazer com que o launchd interrompa o serviço de conexões recebidas para que o serviço até o próximo sistema seja reiniciado. Esta atualização resolve o problema por meio do processamento aprimorado de erros.

  • Login Window

    CVE-ID: CVE-2009-2191

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: Um problema no parâmetro de linha na janela de início de sessão pode resultar no encerramento inesperado de aplicativos ou na execução arbitrária de códigos.

    Descrição:Um problema no parâmetro de linha enquanto a janela de início de sessão processa nomes de aplicativos pode resultar no encerramento inesperado de aplicativos ou na execução arbitrária de códigos. Essa atualização soluciona o problema por meio de processamento aperfeiçoado de nomes de aplicativos. Agradecemos a Alfredo Pesoli da 0xcafebabe.it por comunicar o problema.

  • MobileMe

    CVE-ID: CVE-2009-2192

    Disponível para: Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: O encerramento de sessão no MobileMe não remove todas as credenciais

    Descrição: Há problema lógico no painel de preferências do MobileMe. O encerramento de sessão do painel de preferência não exclui todas as credenciais. Uma pessoa com acesso à conta de usuário local pode continuar acessando qualquer outro sistema associado à conta do MobileMe que estava com a sessão iniciada anteriormente nessa conta local. Essa atualização soluciona o problema ao excluir todas as credenciais no momento do encerramento de sessão.

  • Networking

    CVE-ID: CVE-2009-2193

    Disponível para: Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: O recebimento de um pacote de resposta do AppleTalk desenvolvido com códigos mal-intencionados pode resultar na execução arbitrária de códigos com os privilégios do sistema ou no desligamento inesperado do sistema

    Descrição: Há transbordamento de dados quando o kernel processa os pacotes de respostas do AppleTalk. O recebimento de um pacote de resposta do AppleTalk desenvolvido com códigos mal-intencionados pode resultar na execução arbitrária de códigos com os privilégios do sistema ou no desligamento inesperado do sistema. Essa atualização soluciona o problema por meio de validação aperfeiçoada dos pacotes de resposta do AppleTalk. Agradecemos a Ilja van Sprundel da IOActive por comunicar o problema.

  • Networking

    CVE-ID: CVE-2009-2194

    Disponível para: Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: Um usuário local pode causar o encerramento inesperado do sistema

    Descrição: Há problema de sincronização durante o processamento de descritor de arquivo compartilhando soquetes locais. Ao enviar mensagens contento descritores de arquivos a um soquete sem receptor, um usuário local pode causar o desligamento inesperado do sistema. Essa atualização soluciona o problema por meio de processamento aperfeiçoado do compartilhamento do descritor de arquivo. Agradecemos a Bennet Yee da Google Inc. por comunicar o problema.

  • XQuery

    CVE-ID: CVE-2008-0674

    Disponível para: Mac OS X versões 10.5 a 10.5.7, Mac OS X Server versões 10.5 a 10.5.7

    Impacto: O processamento de conteúdo XML desenvolvido com códigos mal-intencionados pode resultar na execução arbitrária de códigos

    Descrição: Há transbordamento de dados ao processar classes de caracteres em expressões regulares na biblioteca PCRE (Perl Compatible Regular Expressions) usada pelo XQuery. Isso pode permitir que um invasor remoto execute códigos arbitrariamente por meio de uma expressão regular contendo classe de caractere com um grande número de caracteres com pontos de código Unicode maiores que 255. Essa atualização soluciona o problema com a atualização da PCRE para a versão 7.6.

Importante: a menção a sites e produtos de terceiros tem fins somente informativos e não constitui aprovação nem recomendação. A Apple não assume responsabilidade pela seleção, pelo desempenho nem pelo uso de informações ou produtos disponíveis em sites de terceiros. A Apple fornece essas informações somente como cortesia para os usuários. A Apple não testou as informações disponíveis nesses sites e não garante sua precisão ou confiabilidade. O uso de quaisquer informações ou produtos disponíveis na Internet implica riscos, pelos quais a Apple não se responsabiliza. É importante compreender que sites de terceiros são independentes da Apple e que a Apple não tem controle sobre o conteúdo neles exibido. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: