Este documento descreve o conteúdo de segurança do OS X v10.7.2 e da Atualização de segurança 2011-006, que podem ser baixadas e instaladas por meio das preferências da Atualização de Software ou na página Downloads da Apple.
Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a chave PGP de Segurança do Produto Apple".
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".


OS X Lion v10.7.2 e Atualização de Segurança 2011-006
- 

- 

Apache

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: diversas vulnerabilidades no Apache

Descrição: o Apache foi atualizado para a versão 2.2.20 para solucionar diversas vulnerabilidades, sendo que a mais grave pode levar a uma negação de serviço. CVE-2011-0419 não afeta os sistemas OS X Lion. Obtenha mais informações no site do Apache em http://httpd.apache.org/

ID de CVE

CVE-2011-0419

CVE-2011-3192

 

- 

- 

Firewall do Aplicativo

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: executar um binário com uma nomeação criada com códigos maliciosos pode levar à execução arbitrária de códigos com privilégios elevados

Descrição: havia uma vulnerabilidade no formato da sequência durante o registro da depuração do Firewall do Aplicativo.

ID de CVE

CVE-2011-0185: um relator anônimo

 

- 

- 

ATS

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a visualização ou download de um documento com uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia um problema de assinatura durante o processamento de fontes do Tipo 1 pela ATS. Esse problema não afeta sistemas anteriores ao OS X Lion.

ID de CVE

CVE-2011-3437

 

- 

- 

ATS

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: a visualização ou download de um documento com uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia um problema de acesso à memória fora dos limites durante durante o processamento de fontes do Tipo 1 pela ATS. Esse problema não afeta os sistemas OS X Lion.

ID de CVE

CVE-2011-0229: Will Dormann, da CERT/CC

 

- 

- 

ATS

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: os aplicativos que usam a API ATSFontDeactivate podem estar vulneráveis a um encerramento inesperado de aplicativo ou à execução arbitrária de códigos

Descrição: ocorria um estouro de buffer na API ATSFontDeactivate.

ID de CVE

CVE-2011-0230: Steven Michaud, do Mozilla

 

- 

- 

BIND

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: diversas vulnerabilidades no BIND 9.7.3

Descrição: vários problemas de negação de serviço ocorriam no BIND 9.7.3. Esses problemas foram resolvidos atualizando o BIND para a versão 9.7.3-P3.

ID de CVE

CVE-2011-1910

CVE-2011-2464

 

- 

- 

BIND

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: diversas vulnerabilidades no BIND

Descrição: havia problemas de negação de serviço no BIND. Esses problemas foram resolvidos atualizando o BIND para a versão 9.6-ESV-R4-P3.

ID de CVE

CVE-2009-4022

CVE-2010-0097

CVE-2010-3613

CVE-2010-3614

CVE-2011-1910

CVE-2011-2464

 

- 

- 

Política de confiabilidade dos certificados

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1.

Impacto: os certificados raiz foram atualizados

Descrição: diversos certificados autenticados foram adicionados à lista de raízes do sistema. Diversos certificados existentes foram atualizados para a versão mais recente. A lista completa de raízes de sistema reconhecidas pode ser vista no aplicativo Acesso às Chaves.

 

- 

- 

CFNetwork

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: o Safari pode armazenar cookies que normalmente não aceitaria

Descrição: um problema de sincronização ocorria durante o processamento das políticas de cookies da CFNetwork. As preferências de cookies do Safari podem não ser atendidas, permitindo que sites definam cookies que seriam bloqueados se a preferência fosse aplicada. Essa atualização soluciona o problema por meio de melhorias no processamento do armazenamento de cookies.

ID de CVE

CVE-2011-0231: Martin Tessarek; Steve Riggins, da Geeks R Us; Justin C. Walker e Stephen Creswell

 

- 

- 

CFNetwork

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: acessar um site criado com códigos maliciosos pode causar a divulgação de informações confidenciais.

Descrição: um problema ocorria durante o processamento de cookies HTTP pela CFNetwork. Ao acessar um URL HTTP ou HTTPS com códigos maliciosos, a CFNetwork poderia enviar incorretamente os cookies de um domínio para um servidor fora daquele domínio. Esse problema não afeta sistemas anteriores ao OS X Lion.

ID de CVE

CVE-2011-3246: Erling Ellingsen, do Facebook

 

- 

- 

CoreFoundation

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: a visualização de um site ou mensagem de e-mail criada com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

Descrição: um problema de corrupção de memória ocorria durante o processamento da criação de tokens da sequência da CoreFoundation. Esse problema não afeta os sistemas OS X Lion. Essa atualização soluciona o problema por meio de melhorias na verificação de limites.

ID de CVE

CVE-2011-0259: Apple

 

- 

- 

CoreMedia

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: acessar um site criado com códigos maliciosos pode causar a divulgação de dados de vídeo de outro site

Descrição: havia um problema entre origens durante o processamento de redirecionamentos entre sites da CoreMedia. Esse problema foi solucionado pelas melhorias no rastreamento de origem.

ID de CVE

CVE-2011-0187: Nirankush Panchbhai e Microsoft Vulnerability Research (MSVR)

 

- 

- 

CoreMedia

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: diversos problemas de corrompimento de memória ocorriam no QuickTime durante o processamento de arquivos de filme. Esses problemas não afetam os sistemas OS X Lion.

ID de CVE

CVE-2011-0224: Apple

 

- 

- 

CoreProcesses

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: uma pessoa com acesso físico a um sistema pode driblar parcialmente o bloqueio da tela

Descrição: uma janela do sistema exibida enquanto a tela estava bloqueada, como um pedido de senha VPN, pode aceitar digitação enquanto a tela está bloqueada. Esse problema é solucionado ao evitar que as janelas do sistema solicitem a digitação enquanto a tela estiver bloqueada. Esse problema não afeta sistemas anteriores ao OS X Lion.

ID de CVE

CVE-2011-0260: Clint Tseng, da Universidade de Washington, Michael Kobb e Adam Kemp

 

- 

- 

CoreStorage

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a conversão ao FileVault não apaga todos os dados existentes

Descrição: depois de ativar o FileVault, aproximadamente 250 MB no início do volume eram deixados sem criptografia no disco em uma área não utilizada. Apenas os dados que estavam presentes no volume antes da ativação do FileVault não eram criptografados. Isso foi solucionado apagando essa área ao ativar o FileVault e no primeiro uso de um volume criptografado afetado por esse problema. Esse problema não afeta sistemas anteriores ao OS X Lion.

ID de CVE

CVE-2011-3212: Judson Powers, da ATC-NY

 

- 

- 

Sistema de arquivos

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: um invasor com uma posição privilegiada na rede pode manipular os certificados do servidor HTTPS, levando à divulgação de informações confidenciais

Descrição: havia um problema durante o processamento de volumes WebDAV em servidores HTTPS. Se o servidor apresentasse uma cadeia de certificado que não pudesse ser verificada automaticamente, um aviso era exibido e a conexão era encerrada. Se o usuário clicasse no botão "Continuar" na caixa de diálogo de aviso, qualquer certificado seria aceito na próxima conexão àquele servidor. Um invasor em posição privilegiada na rede pode manipular a conexão para obter informações confidenciais ou agir no servidor em nome do usuário. Essa atualização soluciona o problema garantindo que a segunda conexão tenha o mesmo certificado da apresentada originalmente para o usuário.

ID de CVE

CVE-2011-3213: Apple

 

- 

- 

IOGraphics

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: uma pessoa com acesso físico pode ser capaz de driblar o bloqueio da tela

Descrição: havia um problema com o bloqueio da tela ao usar Apple Cinema Displays. Quando uma senha é exigida para despertar do repouso, uma pessoa com acesso físico pode acessar o sistema sem digitar a senha se o sistema estiver em modo de repouso de tela. Essa atualização soluciona o problema garantindo que o bloqueio da tela esteja ativado corretamente no modo de repouso de tela. Esse problema não afeta os sistemas OS X Lion.

ID de CVE

CVE-2011-3214: Apple

 

- 

- 

iChat Server

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: um invasor remoto pode fazer o servidor Jabber consumir recursos do sistema desproporcionalmente

Descrição: havia um problema no processamento de entidades externas XML no jabberd2, um servidor para o Protocolo de Presença e Mensagem Extensível (XMPP). O jabberd2 expandia as entidades externas em solicitações recebidas. Isso permitia que um invasor consumisse os recursos do sistema rapidamente, negando serviço a usuários legítimos do servidor. Essa atualização soluciona o problema desativando a expansão de entidade em solicitações recebidas.

ID de CVE

CVE-2011-1755

 

- 

- 

Kernel

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: uma pessoa com acesso físico pode ser capaz de acessar a senha do usuário

Descrição: um erro de lógica na proteção do DMA do kernel permitia acesso ao DMA do FireWire na janela de início de sessão, inicialização e desligamento, mas não no bloqueio da tela. Essa atualização soluciona o problema evitando o acesso ao DMA do FireWire em todos os estados em que o usuário não está conectado.

ID de CVE

CVE-2011-3215: Passware, Inc.

 

- 

- 

Kernel

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: um usuário sem privilégios pode ser capaz de apagar arquivos de outro usuário em um diretório compartilhado

Descrição: havia um erro de lógica no processamento de eliminação de arquivos pelo kernel em diretórios com o sticky bit.

ID de CVE

CVE-2011-3216: Gordon Davisson, da Crywolf; Linc Davis, R. Dormer, Allan Schmid e Oliver Jeckel, da brainworks Training

 

- 

- 

libsecurity

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a visualização de um site ou mensagem de e-mail criada com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

Descrição: um problema de processamento ocorria na análise de extensões de uma lista de revogação de certificados fora do padrão.

ID de CVE

CVE-2011-3227: Richard Godbee, da Virginia Tech

 

- 

- 

Mailman

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: diversas vulnerabilidades no Mailman 2.1.14

Descrição: havia vários problemas de script entre sites no Mailman 2.1.14. Esses problemas foram solucionados com a melhoria da codificação de caracteres na saída de HTML. Para obter mais informações, consulte o site do Mailman em http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html Esse problema não afeta os sistemas OS X Lion.

ID de CVE

CVE-2011-0707

 

- 

- 

MediaKit

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: a abertura de uma imagem de disco criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia diversos problemas de corrompimento de memória no processamento de imagens de disco. Esses problemas não afetam os sistemas OS X Lion.

ID de CVE

CVE-2011-3217: Apple

 

- 

- 

Open Directory

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: qualquer usuário pode ler os dados de senha do usuário local

Descrição: havia um problema de controle de acesso no Open Directory. Esse problema não afeta sistemas anteriores ao OS X Lion.

ID de CVE

CVE-2011-3435: Arek Dreyer, da Dreyer Network Consultants, Inc, e Patrick Dunstan, da defenseindepth.net

 

- 

- 

Open Directory

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: um usuário não autenticado pode alterar a senha da conta sem fornecer a senha atual

Descrição: havia um problema de controle de acesso no Open Directory. Esse problema não afeta sistemas anteriores ao OS X Lion.

ID de CVE

CVE-2011-3436: Patrick Dunstan, da defenceindepth.net

 

- 

- 

Open Directory

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: um usuário pode conseguir iniciar sessão sem usar uma senha

Descrição: quando o Open Directory está vinculado a um servidor LDAPv3 usando RFC2307 ou mapeamentos personalizados, como não haver atributo AuthenticationAuthority para um usuário, um usuário LDAP pode ter permissão para iniciar sessão sem usar uma senha. Esse problema não afeta sistemas anteriores ao OS X Lion.

ID de CVE

CVE-2011-3226: Jeffry Strunk, da Universidade do Texas, em Austin; Steven Eppler, da Universidade Colorado Mesa; e Hugh Cole-Baker e Frederic Metoz, do Institut de Biologie Structurale

 

- 

- 

PHP

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a visualização de um arquivo PDF criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

Descrição: havia um problema de assinatura durante o processamento de fontes Tipo 1 pelo FreeType. Esse problema foi corrigido pela atualização do FreeType para a versão 2.4.6. Esse problema não afeta os sistemas anteriores ao OS X Lion. Para obter mais informações, consulte o site do FreeType, em /http://www.freetype.org/

ID de CVE

CVE-2011-0226

 

- 

- 

PHP

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: diversas vulnerabilidades no libpng 1.4.3

Descrição: o libpng foi atualizado para a versão 1.5.4 para solucionar diversas vulnerabilidades. A mais grave delas pode causar a execução arbitrária de códigos. Mais informações estão disponíveis no site do libpng, em http://www.libpng.org/pub/png/libpng.html

ID de CVE

CVE-2011-2690

CVE-2011-2691

CVE-2011-2692

 

- 

- 

PHP

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: diversas vulnerabilidades no PHP 5.3.4

Descrição: o PHP foi atualizado para a versão 5.3.6 para solucionar diversas vulnerabilidades. A mais séria delas pode causar a execução arbitrária de códigos. Esses problemas não afetam os sistemas OS X Lion. Para obter mais informações, consulte o site do PHP em http://www.php.net/

ID de CVE

CVE-2010-3436

CVE-2010-4645

CVE-2011-0420

CVE-2011-0421

CVE-2011-0708

CVE-2011-1092

CVE-2011-1153

CVE-2011-1466

CVE-2011-1467

CVE-2011-1468

CVE-2011-1469

CVE-2011-1470

CVE-2011-1471

 

- 

- 

postfix

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: diversas vulnerabilidades no Postfix

Descrição: o Postfix foi atualizado para a versão 2.5.14 para solucionar diversas vulnerabilidades. A mais séria delas pode permitir que um invasor em uma posição privilegiada na rede manipule a sessão do Mail para obter informações confidenciais do tráfego criptografado. Esses problemas não devem afetar os sistemas OS X Lion. Mais informações estão disponíveis no site do Postfix em http://www.postfix.org/announcements/postfix-2.7.3.html

ID de CVE

CVE-2011-0411

CVE-2011-1720

 

- 

- 

python

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: diversas vulnerabilidades no python

Descrição: havia diversas vulnerabilidades no python. A mais séria delas pode levar à execução arbitrária de códigos. Essa atualização soluciona os problemas aplicando patches do projeto python. Para obter mais informações, consulte o site do python em http://www.python.org/download/releases/

ID de CVE

CVE-2010-1634

CVE-2010-2089

CVE-2011-1521

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: diversos problemas de corrompimento de memória ocorriam no QuickTime durante o processamento de arquivos de filme.

ID de CVE

CVE-2011-3228: Apple

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um estouro de buffer ocorria durante o processamento de átomos STSC em arquivos de filme do QuickTime. Esse problema não afeta os sistemas OS X Lion.

ID de CVE

CVE-2011-0249: Matt 'j00ru' Jurczyk, que trabalha com a Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um estouro de buffer ocorria durante o processamento de átomos STSS em arquivos de filme do QuickTime. Esse problema não afeta os sistemas OS X Lion.

ID de CVE

CVE-2011-0250: Matt 'j00ru' Jurczyk, que trabalha com a Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um estouro de buffer ocorria durante o processamento de átomos STSZ em arquivos de filme do QuickTime. Esse problema não afeta os sistemas OS X Lion.

ID de CVE

CVE-2011-0251: Matt 'j00ru' Jurczyk, que trabalha com a Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um estouro de buffer ocorria durante o processamento de átomos STTS em arquivos de filme do QuickTime. Esse problema não afeta os sistemas OS X Lion.

ID de CVE

CVE-2011-0252: Matt 'j00ru' Jurczyk, que trabalha com a Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: um invasor em posição privilegiada na rede pode injetar um script no domínio local durante a visualização de um modelo HTML

Descrição: havia um problema de uso de script entre sites na exportação "Salvar para a web" do QuickTime Player. Os arquivos de modelo HTML gerados por esse recurso faziam referência a um arquivo de script de origem não criptografada. Um invasor em posição privilegiada na rede pode injetar scripts maliciosos no domínio local se o usuário visualizar localmente um arquivo de modelo. Esse problema foi solucionado removendo a referência a um script online. Esse problema não afeta os sistemas OS X Lion.

ID de CVE

CVE-2011-3218: Aaron Sigel, da vtty.com

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um estouro de buffer ocorria durante o processamento de arquivos de filme com codificação H.264 pelo QuickTime.

ID de CVE

CVE-2011-3219: Damian Put, que trabalha na Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode levar à divulgação de conteúdo da memória

Descrição: havia um problema de acesso à memória não inicializada do QuickTime durante o processamento dos controles de dados de URL de arquivos de filme.

ID de CVE

CVE-2011-3220: Luigi Auriemma, que trabalha na Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia um problema de implementação no QuickTime durante o processamento da hierarquia de átomos em um arquivo de filme.

ID de CVE

CVE-2011-3221: um pesquisador anônimo que trabalha na Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a visualização de um arquivo FlashPix criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um estouro de buffer ocorria durante o processamento de arquivos FlashPix pelo QuickTime.

ID de CVE

CVE-2011-3222: Damian Put, que trabalha na Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um estouro de buffer ocorria durante o processamento de arquivos FLIC pelo QuickTime.

ID de CVE

CVE-2011-3223: Matt 'j00ru' Jurczyk, que trabalha na Zero Day Initiative da TippingPoint

 

- 

- 

Servidor de arquivos SMB

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: um usuário convidado pode navegar por pastas compartilhadas

Descrição: havia um problema de controle de acesso no Servidor de arquivos SMB. Não permitir o acesso de convidados a um registro de ponto de compartilhamento de uma pasta evita que o usuário '_unknown' navegue pelo ponto de compartilhamento, mas não os convidados (usuário 'nobody'). Esse problema foi solucionado aplicando o controle de acesso ao usuário convidado. Esse problema não afeta sistemas anteriores ao OS X Lion.

ID de CVE

CVE-2011-3225

 

- 

- 

Tomcat

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: diversas vulnerabilidades no Tomcat 6.0.24

Descrição: o Tomcat foi atualizado para a versão 6.0.32 para solucionar diversas vulnerabilidades. A mais grave delas pode levar a um ataque de scripts entre sites. O Tomcat está disponível somente em sistemas Mac OS X Server. Esse problema não afeta os sistemas OS X Lion. Para obter mais informações, consulte o site do Tomcat em http://tomcat.apache.org/

ID de CVE

CVE-2010-1157

CVE-2010-2227

CVE-2010-3718

CVE-2010-4172

CVE-2011-0013

CVE-2011-0534

 

- 

- 

Documentação do usuário

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: um invasor em posição privilegiada na rede pode manipular o conteúdo de ajuda da App Store, levando à execução de código arbitrário

Descrição: o conteúdo de ajuda da App Store foi atualizado por HTTP. Essa atualização soluciona o problema atualizando o conteúdo de ajuda da App Store por HTTPS. Esse problema não afeta os sistemas OS X Lion.

ID de CVE

CVE-2011-3224: Aaron Sigel, do vtty.com e Brian Mastenbrook

 

- 

- 

Servidor web

Disponível para: Mac OS X Server v10.6.8

Impacto: os clientes podem não ser capazes de acessar os serviços web que exigem autenticação digest

Descrição: um problema no processamento da autenticação HTTP Digest foi solucionado. Os usuários podem ter o acesso negado aos recursos do servidor quando a configuração do servidor tiver permitido o acesso. Esse problema não representa um risco de segurança e foi solucionado para facilitar o uso de mecanismos de autenticação mais seguros. Sistemas executando o OS X Lion Server não são afetados por esse problema.

 

- 

- 

X11

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: diversas vulnerabilidades no libpng

Descrição: havia diversas vulnerabilidades no libpng. A mais séria delas pode levar à execução arbitrária de códigos. Esses problemas são resolvidos atualizando o libpng para a versão 1.5.4 nos sistemas OS Lion e 1.2.46 nos sistemas Mac OS X 10.6. Mais informações estão disponíveis no site do libpng, em http://www.libpng.org/pub/png/libpng.html

ID de CVE

CVE-2011-2690

CVE-2011-2691

CVE-2011-2692