Sobre o conteúdo de segurança do Mac OS X 10.6.7 e da Atualização de segurança 2011-001

Este documento descreve o conteúdo de segurança do Mac OS X v10.6.7 e da Atualização de Segurança 2011-001.

Este documento descreve o conteúdo de segurança do Mac OS X v10.6.7 e da Atualização de Segurança 2011-001, que podem ser transferidos e instalados por meio das preferências da Atualização de Software ou a partir de Downloads da Apple.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple."

Mac OS X 10.6.7 e Atualização de Segurança 2011-001

  • AirPort

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: quando conectado a uma rede Wi-Fi, um invasor na mesma rede pode causar a redefinição do sistema

    Descrição: ocorre um problema de divisão por zero no processamento de frames Wi-Fi. Quando conectado a uma rede Wi-Fi, um invasor na mesma rede pode causar a redefinição do sistema. Esse problema não afeta sistemas anteriores ao Mac OS X 10.6.

    ID de CVE

    CVE-2011-0172

  • Apache

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: diversas vulnerabilidades no Apache 2.2.15

    Descrição: o Apache foi atualizado para a versão 2.2.17 para solucionar diversas vulnerabilidades, sendo que a mais grave pode causar uma negação de serviço. Obtenha mais informações no site do Apache em http://httpd.apache.org/

    ID de CVE

    CVE-2010-1452

    CVE-2010-2068

  • AppleScript

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: executar um aplicativo baseado no AppleScript Studio que permita que entradas não confiáveis sejam transmitidas para uma caixa de diálogo pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorre um problema de string de formato nos comandos de diálogo genérico do AppleScript Studio ("exibir diálogo" e "exibir alerta"). Executar um aplicativo baseado no AppleScript Studio que permita que entradas não confiáveis sejam transmitidas para uma caixa de diálogo pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-0173: Alexander Strange

  • ATS

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização ou o download de um documento que contém uma fonte incorporada criada com códigos maliciosos pode causar a execução de códigos arbitrários

    Descrição: ocorre um estouro de buffer de pilha durante o processamento de fontes OpenType. A visualização ou o download de um documento que contém uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-0174

  • ATS

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização ou o download de um documento que contém uma fonte incorporada criada com códigos maliciosos pode causar a execução de códigos arbitrários

    Descrição: ocorrem vários estouros de buffer durante o processamento de fontes TrueType. A visualização ou o download de um documento que contém uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-0175: Christoph Diehl da Mozilla, Felix Grobert da Google Security Team, Marc Schoenefeld da Red Hat Security Response Team, Tavis Ormandy e Will Drewry da Google Security Team

  • ATS

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização ou o download de um documento que contém uma fonte incorporada criada com códigos maliciosos pode causar a execução de códigos arbitrários

    Descrição: ocorrem vários estouros de buffer durante o processamento de fontes Type 1. A visualização ou o download de um documento que contém uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-0176: Felix Grobert da Google Security Team, geekable que trabalha na Zero Day Initiative da TippingPoint

  • ATS

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização ou o download de um documento que contém uma fonte incorporada criada com códigos maliciosos pode causar a execução de códigos arbitrários

    Descrição: ocorrem vários estouros de buffer durante o processamento de tabelas SFNT. A visualização ou o download de um documento que contém uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-0177: Marc Schoenefeld da Red Hat Security Response Team

  • bzip2

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: usar a ferramenta bzip2 ou bunzip2 da linha de comando para descomprimir um arquivo bzip2 pode resultar no encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: um estouro de inteiro durante o processo de arquivos comprimidos bzip2 pelo bzip2. Usar a ferramenta bzip2 ou bunzip2 da linha de comando para descomprimir um arquivo bzip2 pode resultar no encerramento inesperado do aplicativo ou a execução arbitrária de códigos.

    ID de CVE

    CVE-2010-0405

  • CarbonCore

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: aplicativos que usam FSFindFolder() com a bandeira kTemporaryFolderType podem estar vulneráveis à revelação de informações locais

    Descrição: quando usado com a bandeira kTemporaryFolderType, o FSFindFolder() API retorna para um diretório que seja legível por todo o mundo. Esse problema foi solucionado retornando um diretório que somente está legível pelo usuário que está executando o processo.

    ID de CVE

    CVE-2011-0178

  • ClamAV

    Disponível para: Mac OS X Server 10.5.8, Mac OS X Server 10.6.6

    Impacto: diversas vulnerabilidades no ClamAV

    Descrição: existiam diversas vulnerabilidades no ClamAV, entre as quais a mais séria podia causar a execução arbitrária de códigos. Essa atualização soluciona os problemas atualizando o ClamAV para a versão 0.96.5. O ClamAV é distribuído somente com os sistemas Mac OS X Server. É possível encontrar mais informações no site do ClamAV no endereço http://www.clamav.net/

    ID de CVE

    CVE-2010-0405

    CVE-2010-3434

    CVE-2010-4260

    CVE-2010-4261

    CVE-2010-4479

  • CoreText

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização ou o download de um documento que contém uma fonte incorporada criada com códigos maliciosos pode causar a execução de códigos arbitrários

    Descrição: ocorre um problema de corrupção de memória durante o processamento de arquivos de fonte pelo CoreText. A visualização ou o download de um documento que contém uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-0179: Christoph Diehl da Mozilla

  • Quarentena de arquivos

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: definição adicionada

    Descrição: a definição OSX.OpinionSpy foi adicionada à verificação de malware dentro da Quarentena de arquivos.

  • HFS

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: um usuário local pode ler arquivos arbitrários de um sistema de arquivos HFS, HFS+ ou HFS+J

    Descrição: ocorre um estouro de inteiro durante o processamento do F_READBOOTSTRAP ioctl. Um usuário local pode ler arquivos arbitrários de um sistema de arquivos HFS, HFS+ ou HFS+J.

    ID de CVE

    CVE-2011-0180: Dan Rosenberg da Virtual Security Research

  • ImageIO

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um estouro de buffer de pilha durante o processamento de imagens JPEG pelo ImageIO. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

     

    ID de CVE

    CVE-2011-0170: Andrzej Dyjak que trabalha na iDefense VCP

  • ImageIO

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização de uma imagem XBM criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um estouro de inteiro durante o processamento de imagem XBM pelo ImageIO. A visualização de uma imagem XBM criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-0181: Harry Sintonen

  • ImageIO

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: ocorre um estouro de buffer no processamento de imagens TIFF de JPEG incorporado pelo libTIFF. A visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-0191: Apple

  • ImageIO

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: ocorre um estouro de buffer no processamento de imagens TIFF de Grupo 4 do CCITT incorporado pelo libTIFF. A visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-0192: Apple

  • ImageIO

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização de uma imagem TIFF criptografada com JPEG criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um estouro de inteiro durante o processamento de imagem TIFF criptografada com JPEG pelo ImageIO. A visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema não afeta sistemas anteriores ao Mac OS X 10.6.

    ID de CVE

    CVE-2011-0194: Dominic Chell da NGS Secure

  • Image RAW

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização de uma imagem Canon RAW criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorrem diversos estouros de buffer durante o processamento das imagens Canon RAW pelo Image RAW. A visualização de uma imagem Canon RAW criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-0193: Paul Harrington da NGS Secure

  • Instalador

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização de um site criada com códigos maliciosos pode causar a instalação de um agente que estabelece contato com um servidor arbitrário quando o usuário inicia a sessão e engana o usuário fazendo-o pensar que a conexão é com a Apple

    Descrição: um problema de processamento de URL no Instalador Auxiliar pode causar a instalação de um agente que estabelece contato com um servidor arbitrário quando o usuário inicia a sessão. Uma caixa de diálogo resultante de uma falha de conexão pode permitir que o usuário acredite que a conexão foi tentada com a Apple. Esse problema foi solucionado removendo o Instalador Auxiliar.

    ID de CVE

    CVE-2011-0190: Aaron Sigel da vtty.com

  • Kerberos

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: várias vulnerabilidades no MIT Kerberos 5

    Descrição: ocorrem vários problemas criptográficos no MIT Kerberos 5. Somente o CVE-2010-1323 afeta o Mac OS X 10.5. Mais informações sobre os problemas e os caminhos aplicados estão disponíveis no site do MIT Kerberos em http://web.mit.edu/Kerberos/

    ID de CVE

    CVE-2010-1323

    CVE-2010-1324

    CVE-2010-4020

    CVE-2010-4021

  • Kernel

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: um usuário local pode executar códigos arbitrários com privilégios de sistema.

    Descrição: havia um problema de verificação de privilégios durante o processamento de portas de chamada pela chamada de sistema i386_set_ldt. Um usuário local pode executar códigos arbitrários com privilégios de sistema. Esse problema foi solucionado desativando a criação das entradas das portas de chamada através do i386_set_ldt().

    ID de CVE

    CVE-2011-0182: Jeff Mears

  • Libinfo

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: um invasor remoto pode causar a negação do serviço em hosts que exportem sistemas de arquivos NFS

    Descrição: ocorre um problema de truncamento de inteiro durante o processamento de pacotes RPC NFS pelo Libinfo. Um invasor remoto pode ser capaz de fazer com que os serviços RPC NFS como lockd, statd, mountd e portmap fiquem sem responder.

    ID de CVE

    CVE-2011-0183: Peter Schwenk da University of Delaware

  • libxml

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema de corrupção de memória durante o processamento de XPath pelo libxml. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

    ID de CVE

    CVE-2010-4008: Bui Quang Minh da Bkis (www.bkis.com)

  • libxml

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema do tipo "double free" durante o processamento de expressões XPath pelo libxml. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema não afeta sistemas anteriores ao Mac OS X 10.6.

    ID de CVE

    CVE-2010-4494: Yang Dingning da NCNIPC, Graduate University of Chinese Academy of Sciences

  • Mailman

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: diversas vulnerabilidades no Mailman 2.1.13

    Descrição: existem vários problemas de scripts de sites cruzados no Mailman 2.1.13. Esses problemas foram solucionados através da atualização do Mailman para a versão 2.1.14. Para obter informações mais detalhadas, consulte o site do Mailman em http://mail.python.org/pipermail/mailman-announce/2010-September/000154.html

    ID de CVE

    CVE-2010-3089

  • PHP

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: diversas vulnerabilidades no PHP 5.3.3

    Descrição: o PHP foi atualizado para a versão 5.3.4 para solucionar diversas vulnerabilidades, entre as quais a mais séria pode causar a execução arbitrária de códigos. Para obter informações mais detalhadas, consulte o site do PHP em http://www.php.net/

    ID de CVE

    CVE-2006-7243

    CVE-2010-2950

    CVE-2010-3709

    CVE-2010-3710

    CVE-2010-3870

    CVE-2010-4150

    CVE-2010-4409

  • PHP

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Impacto: diversas vulnerabilidades no PHP 5.2.14

    Descrição: o PHP foi atualizado para a versão 5.2.15 para solucionar diversas vulnerabilidades. A mais séria delas pode causar a execução de códigos arbitrários. Para obter informações mais detalhadas, consulte o site do PHP em http://www.php.net/

    ID de CVE

    CVE-2010-3436

    CVE-2010-3709

    CVE-2010-4150

  • QuickLook

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: fazer download de um arquivo do Excel criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema de corrupção de memória durante o processamento de arquivos do Excel pelo QuickLook. Fazer download de um arquivo do Excel criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema não afeta sistemas anteriores ao Mac OS X 10.6.

    ID de CVE

    CVE-2011-0184: Tobias Klein que trabalha no VeriSign iDefense Labs

  • QuickLook

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: fazer download de um arquivo do Microsoft Office criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória durante o processamento de arquivos do Microsoft Office pelo QuickLook. Fazer uma transferência de um arquivo do Microsoft Office criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-1417: Charlie Miller e Dion Blazakis que trabalham na Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização de uma imagem JPEG2000 criada com códigos maliciosos com o QuickTime pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorrem vários problemas de corrupção de memória durante o processamento de imagens JPEG2000 pelo QuickTime. A visualização de uma imagem JPEG2000 criada com códigos maliciosos com o QuickTime pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-0186: Will Dormann da CERT/CC

  • QuickTime

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização de arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: ocorre um estouro de inteiro durante o processamento de arquivos de filme pelo QuickTime. Visualizar um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Para o Mac OS X 10.5, esse problema foi solucionado no QuickTime 7.6.9.

    ID de CVE

    CVE-2010-4009: Honggang Ren da FortiGuard Labs da Fortinet

  • QuickTime

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: a visualização de uma imagem FlashPix criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema de corrupção de memória durante o processamento de imagens FlashPix pelo QuickTime. A visualização de uma imagem FlashPix criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Para o Mac OS X 10.5, esse problema foi solucionado no QuickTime 7.6.9.

    ID de CVE

    CVE-2010-3801: Damian Put, que trabalha na Zero Day Initiative da TippingPoint, e Rodrigo Rubira Branco, da Check Point Vulnerability Discovery Team

  • QuickTime

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: acessar um site criado com códigos maliciosos pode causar a divulgação de dados de vídeo de outro site

    Descrição: ocorre um problema de origem cruzada durante o processamento de redirecionamentos entre sites pelo plug-in do QuickTime. A visualização de um site criado com códigos maliciosos pode causar a divulgação de dados de vídeo de outro site. Esse problema foi solucionado impedindo o QuickTime de seguir redirecionamentos entre sites.

    ID de CVE

    CVE-2011-0187: Nirankush Panchbhai e Microsoft Vulnerability Research (MSVR)

  • QuickTime

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: visualizar um arquivo de filme QTVR criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema de corrupção de memória durante o processamento de elementos de panorama em arquivos de filme QTVR (QuickTime Virtual Reality) pelo QuickTime. Visualizar um arquivo de filme QTVR criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Para o Mac OS X 10.5, esse problema foi solucionado no QuickTime 7.6.9.

    ID de CVE

    CVE-2010-3802: um pesquisador anônimo que trabalha na Zero Day Initiative da TippingPoint

  • Ruby

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: executar um script Ruby que usa entrada não confiável para um objeto BigDecimal pode causar o encerramento inesperado de aplicativos

    Descrição: ocorre um problema de truncamento de inteiro durante o processamento de classes BigDecimal pelo Ruby. Executar um script Ruby que usa entrada não confiável para um objeto BigDecimal pode causar o encerramento inesperado de aplicativos. Esse problema somente afeta os processos Ruby de 64 bits.

    ID de CVE

    CVE-2011-0188: Apple

  • Samba

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: se um arquivo de compartilhamento SMB estiver ativado, um invasor remoto pode causar uma negação de serviço ou a execução arbitrária de códigos

    Descrição: ocorre um estouro de buffer de pilha durante o processamento de IDs de Segurança do Windows pelo Samba. Se um arquivo de compartilhamento SMB estiver ativado, um invasor remoto pode causar uma negação de serviço ou a execução arbitrária de códigos.

    ID de CVE

    CVE-2010-3069

  • Subversion

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: os servidores de subversão que usam o ajuste de configuração fora do padrão mod_dav_svn "SVNPathAuthz short_circuit" podem permitir que usuários não autorizados acessem porções do repositório

    Descrição: os servidores de subversão que usam o ajuste de configuração fora do padrão mod_dav_svn "SVNPathAuthz short_circuit" podem permitir que usuários não autorizados acessem porções do repositório. Esse problema foi corrigido através da atualização da Subversão para a versão 1.6.13. Esse problema não afeta os sistemas anteriores do Mac OS X 10.6.

    ID de CVE

    CVE-2010-3315

  • Terminal

    Disponível para: Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: quando ssh é usado na caixa de diálogo "Nova Conexão Remota" do Terminal, a versão 1 do SSH é selecionada como a versão de protocolo padrão

    Descrição: quando ssh é usado na caixa de diálogo "Nova Conexão Remota" do Terminal, a versão 1 do SSH é selecionada como a versão de protocolo padrão. Esse problema foi solucionado através da alteração da versão de protocolo padrão para "Automática". Esse problema não afeta sistemas anteriores ao Mac OS X 10.6.

    ID de CVE

    CVE-2011-0189: Matt Warren da HNW Inc.

  • X11

    Disponível para: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 até 10.6.6, Mac OS X Server 10.6 até 10.6.6

    Impacto: diversas vulnerabilidades no FreeType.

    Descrição: ocorrem diversas vulnerabilidades no FreeType, sendo que a mais grave delas pode levar à execução arbitrária de códigos ao processar fontes criadas com códigos maliciosos. Esses problemas foram solucionados através da atualização do FreeType para a versão 2.4.4. Mais informações estão disponíveis no site do FreeType em http://www.freetype.org/

    ID de CVE

    CVE-2010-3814

    CVE-2010-3855

 

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: