Sobre o conteúdo de segurança do OS X Mountain Lion 10.8.3 e a Atualização de Segurança 2013-001

Este documento descreve o conteúdo de segurança do OS X Mountain Lion 10.8.3 e a Atualização de Segurança 2013-001.

É possível fazer o download do OS X Mountain Lion 10.8.3 e da Atualização de Segurança 2013-001 e instalá-los por meio das preferências de Atualização de Software ou da página Downloads da Apple.

Para garantir a proteção de nossos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a segurança do produto da Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a Chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de segurança da Apple".

Nota: o OS X Mountain Lion 10.8.3 inclui o conteúdo do Safari 6.0.3. Para mais detalhes, consulte Sobre o conteúdo de segurança do Safari 6.0.3.

OS X Mountain Lion 10.8.3 e Atualização de Segurança 2013-001

  • Apache

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2

    Impacto: um invasor pode acessar diretórios protegidos por autenticação HTTP sem saber as credenciais corretas

    Descrição: havia um problema de padronização no processamento de URIs com sequências de caracteres Unicode ignoráveis. Esse problema foi resolvido pela atualização de mod_hfs_apple para proibir o acesso a URIs com sequências de caracteres Unicode ignoráveis.

    ID de CVE

    CVE-2013-0966: Clint Ruoho da Laconic Security

  • CoreTypes

    Disponível para: OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2

    Impacto: acessar um site criado com códigos maliciosos poderia permitir que um aplicativo Java Web Start fosse iniciado automaticamente mesmo se o plug-in Java estivesse desativado

    Descrição: os aplicativos Java Web Start seriam executados mesmo se o plug-in Java estivesse desativado. Esse problema foi resolvido pela remoção de arquivos JNLP da lista de tipos de arquivos seguros CoreTypes; assim, o aplicativo Web Start não será executado, exceto se o usuário o abrir no diretório Downloads.

    ID de CVE

    CVE-2013-0967

  • Componentes Internacionais para Unicode

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2

    Impacto: acessar um site criado com códigos maliciosos pode resultar em um ataque de transmissão de script entre sites

    Descrição: havia um problema de padronização no processamento da codificação EUC-JP, que poderia resultar em um ataque de script em vários sites em sites codificados por EUC-JP. Esse problema foi resolvido por meio da atualização da tabela de mapeamento de EUC-JP.

    ID de CVE

    CVE-2011-3058: Masato Kinugawa

  • Serviços de identidade

    Disponível para: OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2

    Impacto: autenticações que dependam da autenticação do ID Apple baseada em certificado podem ser ignoradas

    Descrição: havia um problema com o processamento de erros nos Serviços de identidade. Quando ocorria uma falha na validação do certificado do ID Apple do usuário, esse ID Apple era considerado uma string vazia. Se vários sistemas pertencentes a diferentes usuários entrassem nesse estado, os aplicativos que dependessem da determinação de identidade poderiam estender a confiança erroneamente. Esse problema foi resolvido ao garantir que NULL seja retornado em vez de uma string vazia.

    ID de CVE

    CVE-2013-0963

  • ImageIO

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2

    Impacto: a visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorria um estouro de buffer no processamento de imagens TIFF pelo libtiff. Esse problema foi solucionado por meio da validação adicional de imagens TIFF.

    ID de CVE

    CVE-2012-2088

  • IOAcceleratorFamily

    Disponível para: OS X Mountain Lion 10.8 a 10.8.2

    Impacto: a visualização de uma imagem criada com códigos maliciosos pode causar o encerramento inesperado do sistema ou a execução arbitrária de códigos

    Descrição: ocorria um problema de memória corrompida durante o processamento de dados gráficos. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2013-0976: um pesquisador anônimo

  • Kernel

    Disponível para: OS X Mountain Lion 10.8 a 10.8.2

    Impacto: aplicativos comprometidos ou criados com códigos maliciosos podem conseguir determinar endereços no kernel

    Descrição: havia um problema de divulgação de informações no processamento de APIs relacionadas a extensões de kernel. Respostas com uma chave OSBundleMachOHeaders podem ter incluído endereços kernel, que podem auxiliar a ignorar a proteção de randomização de layout do espaço de endereço. Esse problema foi resolvido pelo cancelamento do deslocamento dos endereços antes de retorná-los.

    ID de CVE

    CVE-2012-3749: Mark Dowd da Azimuth Security, Eric Monti da Square e outros pesquisadores anônimos

  • Janela de Início de Sessão

    Disponível para: OS X Mountain Lion 10.8 a 10.8.2

    Impacto: um invasor com acesso ao teclado pode modificar a configuração do sistema

    Descrição: havia um erro lógico no processamento da janela de início de sessão pelo VoiceOver, em que um invasor com acesso ao teclado poderia abrir as Preferências do Sistema e modificar a configuração do sistema. Esse problema foi resolvido ao impedir que o VoiceOver inicie aplicativos na janela de início de sessão.

    ID de CVE

    CVE-2013-0969: Eric A. Schulman da Purpletree Labs

  • Mensagens

    Disponível para: OS X Mountain Lion 10.8 a 10.8.2

    Impacto: clicar em um link do Mensagens pode iniciar uma chamada do FaceTime sem solicitação

    Descrição: clicar em um URL do FaceTime:// com formatação específica no Mensagens poderia ignorar a solicitação de confirmação padrão. Esse problema foi resolvido por meio da validação adicional de URLs do FaceTime://.

    ID de CVE

    CVE-2013-0970: Aaron Sigel da vtty.com

  • Servidor de Mensagens

    Disponível para: Mac OS X Server 10.6.8, OS X Lion Server 10.7 a 10.7.5

    Impacto: um invasor remoto pode redirecionar mensagens Jabber federadas

    Descrição: havia um problema no processamento de mensagens de resultado de retorno de discagem por parte do servidor Jabber. Um invasor pode fazer com que o servidor Jabber divulgue informações destinadas a usuários de servidores federados. Esse problema foi resolvido por meio de melhorias no processamento de mensagens de resultado de retorno de discagem.

    ID de CVE

    CVE-2012-3525

  • PDFKit

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2

    Impacto: a visualização de um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema do tipo "uso após livre" no processamento de anotações em tinta em arquivos PDF. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2013-0971: Tobias Klein que trabalha na Zero Day Initiative da HP TippingPoint

  • Podcast Producer Server

    Disponível para: Mac OS X Server 10.6.8, OS X Lion Server 10.7 a 10.7.5

    Impacto: um invasor externo pode executar códigos arbitrariamente

    Descrição: havia um problema de compartilhamento de tipo no Ruby no processamento de parâmetros XML pelo Rails. Esse problema foi resolvido por meio da desativação dos parâmetros XML na implementação do Rails usada pelo Podcast Producer Server.

    ID de CVE

    CVE-2013-0156

  • Podcast Producer Server

    Disponível para: OS X Lion Server 10.7 a 10.7.5

    Impacto: um invasor externo pode executar códigos arbitrariamente

    Descrição: havia um problema de compartilhamento de tipo no Ruby no processamento de dados JSON pelo Rails. Esse problema foi resolvido por meio da mudança para o uso do back-end JSONGem para análise JSON na implementação do Rails usada pelo Podcast Producer Server.

    ID de CVE

    CVE-2013-0333

  • PostgreSQL

    Disponível para: Mac OS X Server 10.6.8, OS X Lion Server 10.7 a 10.7.5

    Impacto: diversas vulnerabilidades no PostgreSQL

    Descrição: o PostgreSQL foi atualizado para a versão 9.1.5 para resolver diversas vulnerabilidades, a mais séria delas pode permitir que usuários de banco de dados leiam arquivos do sistema de arquivos com os privilégios da conta de função de servidor do banco de dados. Informações adicionais estão disponíveis no site do PostgreSQL em http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

    ID de CVE

    CVE-2012-3488

    CVE-2012-3489

  • Gerenciador de Perfil

    Disponível para: OS X Lion Server 10.7 a 10.7.5

    Impacto: um invasor externo pode executar códigos arbitrariamente

    Descrição: havia um problema de compartilhamento de tipo no Ruby no processamento de parâmetros XML pelo Rails. Esse problema foi resolvido por meio da desativação dos parâmetros XML na implementação do Rails usada pelo Gerenciador de Perfil.

    ID de CVE

    CVE-2013-0156

  • QuickTime

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer no processamento de caixas 'rnet' em arquivos MP4. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2012-3756: Kevin Szkudlapski da QuarksLab

  • Ruby

    Disponível para: Mac OS X Server 10.6.8

    Impacto: um invasor remoto pode conseguir causar a execução arbitrária de códigos se um aplicativo Rails estiver em execução

    Descrição: havia um problema de compartilhamento de tipo no Ruby no processamento de parâmetros XML pelo Rails. Esse problema foi resolvido por meio da desativação do YAML e dos símbolos em parâmetros XML no Rails.

    ID de CVE

    CVE-2013-0156

  • Segurança

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2

    Impacto: um invasor com uma posição de rede privilegiada pode interceptar credenciais do usuário ou outras informações confidenciais

    Descrição: vários certificados de CA intermediários foram emitidos por engano pelo TURKTRUST. Isso pode permitir que um invasor do tipo "man in the middle" redirecione as conexões e intercepte credenciais do usuário ou outras informações confidenciais. Esse problema foi resolvido ao não permitir os certificados SSL incorretos.

  • Atualização de Software

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5

    Impacto: um invasor com uma posição de rede privilegiada pode conseguir causar a execução arbitrária de códigos

    Descrição: a Atualização de Software permitiu que um ataque do tipo "man in the middle" inserisse conteúdo de plug-in no texto de marketing exibido para as atualizações. Isso pode permitir a exploração de um plug-in vulnerável ou facilitar ataques de engenharia social envolvendo plug-ins. Esse problema não afeta os sistemas OS X Mountain Lion. Ele foi resolvido ao impedir que plug-ins sejam carregados na WebView do texto de marketing da Atualização de Software.

    ID de CVE

    CVE-2013-0973: Emilio Escobar

  • Wiki Server

    Disponível para: OS X Lion Server 10.7 a 10.7.5

    Impacto: um invasor externo pode executar códigos arbitrariamente

    Descrição: havia um problema de compartilhamento de tipo no Ruby no processamento de parâmetros XML pelo Rails. Esse problema foi resolvido por meio da desativação dos parâmetros XML na implementação do Rails usada pelo Wiki Server.

    ID de CVE

    CVE-2013-0156

  • Wiki Server

    Disponível para: OS X Lion Server 10.7 a 10.7.5

    Impacto: um invasor externo pode executar códigos arbitrariamente

    Descrição: havia um problema de compartilhamento de tipo no Ruby no processamento de dados JSON pelo Rails. Esse problema foi resolvido por meio da mudança para o uso do back-end JSONGem para análise JSON na implementação do Rails usada pelo Wiki Server.

    ID de CVE

    CVE-2013-0333

  • Remoção de malware

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2

    Descrição: essa atualização executa uma ferramenta de remoção de malware que elimina as variantes mais comuns do malware. Se o malware for encontrado, uma caixa de diálogo será exibida notificando o usuário de que o malware foi removido. Nenhuma indicação será exibida para o usuário se o malware não for encontrado.

 

O FaceTime não está disponível em todos os países ou regiões.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: