Sobre a Atualização de Segurança 2010-001
Este documento descreve a Atualização de Segurança 2010-001, que pode ser baixada e instalada por meio das preferências "Atualização de Software" ou em "Downloads da Apple".
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".
Atualização de segurança 2010-001
CoreAudio
CVE-ID: CVE-2010-0036
Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Impacto: a reprodução de um arquivo de áudio mp4 criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos
Descrição: ocorre um estouro de buffer no processamento de arquivos de áudio mp4. Reproduzir um arquivo de áudio mp4 criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias na verificação de limites. Crédito a Tobias Klein, da trapkit.de, por comunicar esse problema.
CUPS
CVE-ID: CVE-2009-3553
Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Impacto: um invasor remoto pode causar o encerramento inesperado do aplicativo cupsd
Descrição: existe um problema do tipo "uso após a liberação" no cupsd. Ao emitir uma solicitação get-printer-jobs criada com códigos maliciosos, um invasor pode causar uma negação de serviço remota. Isso é mitigado pelo reinício automático do cupsd após o seu encerramento. Esse problema foi resolvido por meio de um monitoramento aprimorado do uso da conexão.
Flash Player plug-in
CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE- 2009-3799, CVE-2009-3800, CVE-2009-3951
Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Impacto: várias vulnerabilidades no plug-in Adobe Flash Player
Descrição: existem vários problemas no plug-in Adobe Flash Player; o mais sério deles podendo levar à execução arbitrária de códigos ao acessar um site criado com códigos maliciosos. Os problemas são resolvidos com a atualização do plug-in Flash Player para a versão 10.0.42. Mais informações estão disponíveis no site da Adobe em http://www.adobe .com/support/security/bulletins/apsb09-19.html Agradecemos a um pesquisador anônimo e a Damian Put, em parceria com a Zero Day Initiative da TippingPoints, Bing Liu, da equipe de pesquisa de segurança global FortiGuard da Fortinet, Will Dormann, do CERT, Manuel Caballero e Microsoft Vulnerability Research (MSVR).
ImageIO
CVE-ID: CVE-2009-2285
Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Impacto: ver uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de código
Descrição: ocorre um estouro de buffer no processamento de imagens TIFF pelo ImageIO. A visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias na verificação de limites. Para os sistemas Mac OS X 10.6, esse problema foi corrigido no Mac OS X 10.6.2.
Image RAW
CVE-ID: CVE-2010-0037
Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Impacto: ver uma imagem DNG criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos
Descrição: ocorre um estouro de buffer no processamento de imagens DNG do Image RAW. Ver uma imagem DNG criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias na verificação de limites. Agradecemos a Jason Carr, da Carnegie Mellon University Computing Services, por comunicar esse problema.
OpenSSL
CVE-ID: CVE-2009-3555
Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Impacto: um invasor com uma posição privilegiada na rede pode obter dados ou alterar as operações executadas em sessões protegidas por SSL
Descrição: existe uma vulnerabilidade "man-in-the-middle" nos protocolos SSL e TLS. Mais informações estão disponíveis em http://www.phonefactor.com/sslgap Uma mudança no protocolo de renegociação está em andamento dentro da IETF. Esta atualização desativa a renegociação no OpenSSL como medida preventiva de segurança. O problema não afeta os serviços que utilizam Secure Transport, pois não é compatível com renegociação. Agradecemos a Steve Dispensa e Marsh Ray, da PhoneFactor, Inc., por comunicarem esse problema.
Importante: a menção a sites e produtos de terceiros tem fins somente informativos e não constitui aprovação nem recomendação. A Apple não assume responsabilidade pela seleção, pelo desempenho nem pelo uso de informações ou produtos disponíveis em sites de terceiros. A Apple fornece essas informações somente como cortesia para os usuários. A Apple não testou as informações disponíveis nesses sites e não garante sua precisão ou confiabilidade. O uso de quaisquer informações ou produtos disponíveis na Internet implica riscos, pelos quais a Apple não se responsabiliza. É importante compreender que sites de terceiros são independentes da Apple e que a Apple não tem controle sobre o conteúdo neles exibido. Entre em contato com o fornecedor para obter mais informações.