Sobre o conteúdo de segurança do OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 e atualização de segurança 2012-004

Saiba sobre o conteúdo de segurança do OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 e atualização de segurança 2012-004.

Este documento descreve o conteúdo de segurança do OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 e atualização de segurança 2012-004.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".

OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 e atualização de segurança 2012-004

Nota: o OS X Mountain Lion 10.8.2 inclui o conteúdo do Safari 6.0.1. Para mais detalhes, consulte Sobre o conteúdo de segurança do Safari 6.0.1.

  • Apache

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: diversas vulnerabilidades no Apache

    Descrição: o Apache foi atualizado para a versão 2.2.22 para solucionar diversas vulnerabilidades, sendo que a mais grave pode levar a uma negação de serviço. Obtenha mais informações no site do Apache em http://httpd.apache.org/. Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Disponível para: OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: um invasor remoto pode causar uma negação de serviço em sistemas configurados para executar BIND como um servidor de nome de DNS

    Descrição: ocorria um problema de asserção acessível no processamento de registros DNS. Esse problema foi solucionado através da atualização para o BIND 9.7.6-P1. Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2011-4313

  • BIND

    Disponível para: OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4, OS X Mountain Lion 10.8 e 10.8.1

    Impacto: um invasor remoto pode causar uma negação de serviço, corrupção de dados ou de obter informações confidenciais da memória do processo em sistemas configurados para executar o BIND como um servidor de nome de DNS

    Descrição: ocorria um problema de gerenciamento de memória no processamento de registros DNS. Esse problema foi solucionado pela atualização para o BIND 9.7.6-P1 em sistemas OS X Lion, e para o BIND 9.8.3-P1 em sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2012-1667

  • CoreText

    Disponível para: OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: aplicativos que usam CoreText podem estar vulneráveis a um encerramento inesperado de aplicativos ou à execução de códigos arbitrários

    Descrição: ocorria um problema de verificação de limites no processamento de glifos de texto, o que pode causar leituras ou gravações fora dos limites na memória. Esse problema foi solucionado por meio de melhorias na verificação de limites. Esse problema não afeta os sistemas Mac OS X 10.6 nem OS X Mountain Lion.

    ID de CVE

    CVE-2012-3716: Jesse Ruderman da Mozilla Corporation

  • Segurança de Dados

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4, OS X Mountain Lion 10.8 e 10.8.1

    Impacto: um invasor com uma posição de rede privilegiada pode interceptar credenciais do usuário ou outras informações confidenciais

    Descrição: o TrustWave, um CA de raiz confiável, emitiu e, em seguida, revogou, um certificado sub-CA de um de seus âncoras confiáveis. Esse sub-CA facilitava a intercepção de comunicações protegidas pelo protocolo TLS. Essa atualização adiciona o certificado sub-CA envolvido à lista de certificados não confiáveis do OS X.

  • Serviço de Diretório

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impacto: se um Proxy de Serviço de Diretório for usado, um invasor remoto pode causar uma negação de serviço ou a execução de códigos arbitrários

    Descrição: ocorria estouro de buffer no Proxy de Serviço de Diretório. Esse problema foi solucionado por meio de melhorias na verificação de limites. Esse problema não afeta os sistemas OS X Lion e Mountain Lion.

    ID de CVE

    CVE-2012-0650: aazubel em parceria com a Zero Day Initiative da HP

  • ImageIO

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: o processamento de uma imagem PNG desenvolvida com códigos mal-intencionados pode resultar no encerramento inesperado de aplicativos ou na execução de códigos arbitrários

    Descrição: ocorriam vários problemas de corrupção de memória durante o processamento do libpng de imagens PNG. Esse problema foi solucionado através de melhorias na validação de imagens PNG. Esses problemas não afetam os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: a visualização de uma imagem TIFF criada com códigos mal-intencionados pode levar ao fechamento inesperado de aplicativos ou à execução de códigos arbitrários

    Descrição: ocorria um estouro de inteiro durante o processamento de imagens TIFF de libTIFF. Esse problema foi solucionado por melhorias na validação de imagens TIFF. Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2012-1173: Alexander Gavrun em parceria com a Zero Day Initiative da HP.

  • Instalador

    Disponível para: OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: os administradores remotos e pessoas com acesso físico ao sistema podem obter informações sobre a conta

    Descrição: a correção do CVE-2012-0652 no OS X Lion 10.7.4 impedia a gravação de senhas do usuário no registro do sistema, mas não removia as entradas de registro antigas. Esse problema foi solucionado por meio da exclusão dos arquivos de registro que continham senhas. Esse problema não afeta os sistemas Mac OS X 10.6 nem OS X Mountain Lion.

    ID de CVE

    CVE-2012-0652

  • Componentes Internacionais para Unicode

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: aplicativos que usam ICU podem estar vulneráveis a um encerramento inesperado de aplicativos ou à execução de códigos arbitrários.

    Descrição: ocorreu um estouro de buffer de pilha no processamento de IDs de localidade de ICU. Esse problema foi solucionado por meio de melhorias na verificação de limites. Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2011-4599

  • Kernel

    Disponível para: OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: um programa criado com códigos mal-intencionados pode ignorar restrições do sandbox

    Descrição: ocorreu um problema lógico durante o processamento de depuração de chamadas do sistema. Isso pode permitir que um programa criado com códigos mal-intencionados obtenha execução de códigos em outros programas com os mesmos privilégios do usuário. Esse problema foi solucionado por meio da desativação do processamento de endereços em PT_STEP e PT_CONTINUE. Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2012-0643: iOS Jailbreak Dream Team

  • Janela de Início de Sessão

    Disponível para: OS X Mountain Lion 10.8 e 10.8.1

    Impacto: um usuário local pode conseguir obter as senhas de início de sessão de outros usuários

    Descrição: um método de entrada instalado pelo usuário pode interceptar digitações de senha na Janela de início de sessão ou no Desbloqueio do protetor de tela. Esse problema foi solucionado por meio do impedimento do uso de métodos instalados pelo usuário quando o sistema estiver processando informações de início de sessão.

    ID de CVE

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: visualizar uma mensagem de e-mail pode causar a execução de plug-ins da web

    Descrição: havia um erro de validação de entrada no processamento de plug-ins da web incorporados no Mail. Esse problema foi solucionado por meio da desativação de plug-ins de terceiros no Mail. Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2012-3719: Will Dormann da CERT/CC

  • Contas móveis

    Disponível para: OS X Mountain Lion 10.8 e 10.8.1

    Impacto: um usuário com acesso ao conteúdo de uma conta móvel pode obter a senha da conta

    Descrição: a criação de uma conta móvel salvou um hash de senha na conta, que foi usado para iniciar sessão quando a conta móvel era usada como uma conta externa. O hash de senha pode ser usado para determinar a senha do usuário. Esse problema foi solucionado por meio da criação do hash de senha somente se contas externas estiverem habilitadas no sistema em que a conta móvel for criada.

    ID de CVE

    CVE-2012-3720: Harald Wagener da Google, Inc.

  • PHP

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4, OS X Mountain Lion 10.8 e 10.8.1

    Impacto: diversas vulnerabilidades no PHP

    Descrição: >o PHP foi atualizado para a versão 5.3.15 para solucionar diversas vulnerabilidades, a mais séria delas pode causar a execução de códigos arbitrários. Para informações mais detalhadas, consulte o site do PHP em http://www.php.net

    ID de CVE

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: scripts PHP libpng podem estar vulneráveis a um encerramento inesperado de aplicativos ou à execução de códigos arbitrários

    Descrição: havia um problema de corrupção de memória durante o processamento de arquivos do PNG. Esse problema foi solucionado por meio da atualização da cópia de libpng do PHP para a versão 1.5.10. Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2011-3048

  • Gerenciador de Perfil

    Disponível para: OS X Lion Server 10.7 a 10.7.4

    Impacto: um usuário não autenticado podia enumerar dispositivos gerenciados

    Descrição: ocorria um problema de autenticação na interface privada do Gerenciamento de Dispositivos. Esse problema foi solucionado por meio da remoção da interface.

    Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2012-3721: Derick Cassidy da XEquals Corporation

  • QuickLook

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: visualizar um arquivo .pict criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: ocorria um problema de corrupção de memória durante o processamento de arquivos .pict. Esse problema foi solucionado através de melhorias na validação de arquivos .pict. Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon) da Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: a visualização de arquivo de filme criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: ocorria um estouro de inteiro durante o processamento do QuickTime de sean atoms. Esse problema foi solucionado por meio de melhorias na verificação de limites. Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2012-0670: Tom Gallagher (Microsoft) e Paul Bates (Microsoft) em parceria com a Zero Day Initiative da HP

  • QuickTime

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: a visualização de arquivo de filme criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: ocorria um problema de acesso à memória não inicializada durante o processamento dos arquivos de filme codificados com Sorenson. Esse problema foi solucionado por meio de uma inicialização aprimorada da memória. Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2012-3722: Will Dormann da CERT/CC

  • QuickTime

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: a visualização de arquivo de filme criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: ocorria um estouro de buffer durante o processamento de arquivos de filme com codificação RLE. Esse problema foi solucionado por meio de melhorias na verificação de limites. Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2012-0668: Luigi Auriemma, que trabalha na Zero Day Initiative da HP

  • Ruby

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: um invasor pode decodificar dados protegidos por SSL

    Descrição: ocorrem ataques conhecidos à confidencialidade de SSL 3.0 e TLS 1.0, quando um conjunto de codificação utiliza uma cifra de bloco no modo CBC. O módulo Ruby OpenSSL desativava a contramedida 'fragmento vazio' que impedia esses ataques. Esse problema foi solucionado por meio da desativação de fragmentos vazios. Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2011-3389

  • USB

    Disponível para: OS X Lion 10.7 a 10.7.4, OS X Lion Server 10.7 a 10.7.4

    Impacto: anexar um dispositivo USB pode causar um encerramento inesperado do sistema ou uma execução de códigos arbitrários

    Descrição: ocorria um problema de corrupção de memória durante o processamento de descritores de hubs USB. Esse problema foi solucionado através do tratamento do campo de descritor bNbrPorts. Esse problema não afeta os sistemas OS X Mountain Lion.

    ID de CVE

    CVE-2012-3723: Andy Davis da NGS Secure

 

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: