Sobre a Atualização de Segurança 2010-005

Este documento descreve a Atualização de Segurança 2010-005.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Versões de segurança da Apple.

Atualização de Segurança 2010-005

  • ATS

    CVE-ID: CVE-2010-1808

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impacto: visualizar ou baixar um documento contendo uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: ocorre um estouro de buffer de pilha no processamento de fontes integradas pelo Apple Type Services. Ver ou baixar um documento contendo uma fonte integrada criada com intuito malicioso pode causar a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias na verificação de limites.

  • CFNetwork

    CVE-ID: CVE-2010-1800

    Disponível para: Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impacto: um invasor com posição de rede privilegiada pode interceptar credenciais de usuário ou outras informações confidenciais

    Descrição: CFNetwork permite conexões TLS/SSL anônimas. Isso pode permitir que um invasor do tipo "man-in-the-middle" redirecione as conexões e intercepte credenciais do usuário ou outras informações confidenciais. Esse problema não afeta o aplicativo Mail. Esse problema foi resolvido desativando conexões TLS/SSL anônimas. Esse problema não afeta sistemas anteriores a Mac OS X 10.6.3. Crédito para Aaron Sigel da vtty.com, Jean-Luc Giraud da Citrix, Tomas Bjurman da Sirius IT e Wan-Teh Chang da Google, Inc. por relatarem esse problema.

  • ClamAV

    CVE-ID: CVE-2010-0098, CVE-2010-1311

    Disponível para: Mac OS X Server 10.5.8, Mac OS X Server 10.6.4

    Impacto: diversas vulnerabilidades no ClamAV

    Descrição: existem diversas vulnerabilidades no ClamAV; a mais grave delas pode levar à execução arbitrária de códigos. Esta atualização resolve os problemas por meio da atualização do ClamAV para a versão 0.96.1. O ClamAV é distribuído somente com sistemas Mac OS X Server. Mais informações estão disponíveis no site do ClamAV em http://www.clamav.net/

  • CoreGraphics

    CVE-ID: CVE-2010-0036

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impacto: a reprodução de um arquivo de áudio criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer de pilha no processamento de arquivos PDF por CoreGraphics. Abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias na verificação de limites. Crédito para Rodrigo Rubira Branco da Check Point Vulnerability Discovery Team (VDT) por relatar esse problema.

  • libsecurity

    CVE-ID: CVE-2010-1802

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impacto: um invasor em uma posição de rede privilegiada que pode obter um nome de domínio que difere apenas nos últimos caracteres do nome de um domínio legítimo poderia se passar por hosts nesse domínio

    Descrição: há um problema no processamento de nomes de host de certificado. Para nomes de host contendo três ou mais componentes, os últimos caracteres não são devidamente comparados. No caso de um nome ter exatamente três componentes, somente o último caractere não será verificado. Por exemplo, se um invasor em uma posição de rede privilegiada puder obter um certificado para www.example.con, o invasor poderá se passar por www.example.com. Esse problema é resolvido por meio de processamento aprimorado de nomes de host de certificado. Crédito a Peter Speck por relatar esse problema.

  • PHP

    CVE-ID: CVE-2010-1205

    Disponível para: Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impacto: carregar uma imageam PNG criada com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um estouro de buffer na biblioteca libpng de PHP. Carregar uma imagem PNG criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Esse problema é resolvido por meio da atualização de libpng em PHP para a versão 1.4.3. Esse problema não afeta sistemas anteriores a Mac OS X 10.6.

  • PHP

    CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484

    Disponível para: Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impacto: várias vulnerabilidades no PHP 5.3.1

    Descrição: o PHP foi atualizado para a versão 5.3.2 para resolver diversas vulnerabilidades, entre as quais a mais séria pode causar a execução arbitrária de códigos. Mais informações estão disponíveis no site do PHP em http://www.php.net/

  • Samba

    CVE-ID: CVE-2010-2063

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Impacto: um invasor remoto não autenticado pode causar uma negação de serviço ou execução arbitrária de códigos

    Descrição: há um estouro de buffer no Samba. Um invasor remoto não autenticado pode causar uma negação de serviço ou execução arbitrária de códigos enviando um pacote criado com códigos maliciosos. Esse problema é resolvido realizando a validação adicional de pacotes no Samba.

Importante: a menção a sites e produtos de terceiros tem fins somente informativos e não constitui aprovação nem recomendação. A Apple não assume responsabilidade pela seleção, pelo desempenho nem pelo uso de informações ou produtos disponíveis em sites de terceiros. A Apple fornece essas informações somente como cortesia para os usuários. A Apple não testou as informações disponíveis nesses sites e não garante sua precisão ou confiabilidade. O uso de quaisquer informações ou produtos disponíveis na Internet implica riscos, pelos quais a Apple não se responsabiliza. É importante compreender que sites de terceiros são independentes da Apple e que a Apple não tem controle sobre o conteúdo neles exibido. Entre em contato com o fornecedor para obter mais informações.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: