É possível fazer o download do OS X Mountain Lion 10.8.3 e da Atualização de Segurança 2013-001 e instalá-los por meio das preferências de Atualização de Software ou da página Downloads da Apple.
Para garantir a proteção de nossos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a segurança do produto da Apple, acesse o site Segurança dos produtos Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a Chave PGP de Segurança do Produto Apple".
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de segurança da Apple".
Nota: o OS X Mountain Lion 10.8.3 inclui o conteúdo do Safari 6.0.3. Para mais detalhes, consulte Sobre o conteúdo de segurança do Safari 6.0.3.
OS X Mountain Lion 10.8.3 e Atualização de Segurança 2013-001
Apache
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2
Impacto: um invasor pode acessar diretórios protegidos por autenticação HTTP sem saber as credenciais corretas
Descrição: havia um problema de padronização no processamento de URIs com sequências de caracteres Unicode ignoráveis. Esse problema foi resolvido pela atualização de mod_hfs_apple para proibir o acesso a URIs com sequências de caracteres Unicode ignoráveis.
ID de CVE
CVE-2013-0966: Clint Ruoho da Laconic Security
CoreTypes
Disponível para: OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2
Impacto: acessar um site criado com códigos maliciosos poderia permitir que um aplicativo Java Web Start fosse iniciado automaticamente mesmo se o plug-in Java estivesse desativado
Descrição: os aplicativos Java Web Start seriam executados mesmo se o plug-in Java estivesse desativado. Esse problema foi resolvido pela remoção de arquivos JNLP da lista de tipos de arquivos seguros CoreTypes; assim, o aplicativo Web Start não será executado, exceto se o usuário o abrir no diretório Downloads.
ID de CVE
CVE-2013-0967
Componentes Internacionais para Unicode
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2
Impacto: acessar um site criado com códigos maliciosos pode resultar em um ataque de transmissão de script entre sites
Descrição: havia um problema de padronização no processamento da codificação EUC-JP, que poderia resultar em um ataque de script em vários sites em sites codificados por EUC-JP. Esse problema foi resolvido por meio da atualização da tabela de mapeamento de EUC-JP.
ID de CVE
CVE-2011-3058: Masato Kinugawa
Serviços de identidade
Disponível para: OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2
Impacto: autenticações que dependam da autenticação do ID Apple baseada em certificado podem ser ignoradas
Descrição: havia um problema com o processamento de erros nos Serviços de identidade. Quando ocorria uma falha na validação do certificado do ID Apple do usuário, esse ID Apple era considerado uma string vazia. Se vários sistemas pertencentes a diferentes usuários entrassem nesse estado, os aplicativos que dependessem da determinação de identidade poderiam estender a confiança erroneamente. Esse problema foi resolvido ao garantir que NULL seja retornado em vez de uma string vazia.
ID de CVE
CVE-2013-0963
ImageIO
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2
Impacto: a visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: ocorria um estouro de buffer no processamento de imagens TIFF pelo libtiff. Esse problema foi solucionado por meio da validação adicional de imagens TIFF.
ID de CVE
CVE-2012-2088
IOAcceleratorFamily
Disponível para: OS X Mountain Lion 10.8 a 10.8.2
Impacto: a visualização de uma imagem criada com códigos maliciosos pode causar o encerramento inesperado do sistema ou a execução arbitrária de códigos
Descrição: ocorria um problema de memória corrompida durante o processamento de dados gráficos. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2013-0976: um pesquisador anônimo
Kernel
Disponível para: OS X Mountain Lion 10.8 a 10.8.2
Impacto: aplicativos comprometidos ou criados com códigos maliciosos podem conseguir determinar endereços no kernel
Descrição: havia um problema de divulgação de informações no processamento de APIs relacionadas a extensões de kernel. Respostas com uma chave OSBundleMachOHeaders podem ter incluído endereços kernel, que podem auxiliar a ignorar a proteção de randomização de layout do espaço de endereço. Esse problema foi resolvido pelo cancelamento do deslocamento dos endereços antes de retorná-los.
ID de CVE
CVE-2012-3749: Mark Dowd da Azimuth Security, Eric Monti da Square e outros pesquisadores anônimos
Janela de Início de Sessão
Disponível para: OS X Mountain Lion 10.8 a 10.8.2
Impacto: um invasor com acesso ao teclado pode modificar a configuração do sistema
Descrição: havia um erro lógico no processamento da janela de início de sessão pelo VoiceOver, em que um invasor com acesso ao teclado poderia abrir as Preferências do Sistema e modificar a configuração do sistema. Esse problema foi resolvido ao impedir que o VoiceOver inicie aplicativos na janela de início de sessão.
ID de CVE
CVE-2013-0969: Eric A. Schulman da Purpletree Labs
Mensagens
Disponível para: OS X Mountain Lion 10.8 a 10.8.2
Impacto: clicar em um link do Mensagens pode iniciar uma chamada do FaceTime sem solicitação
Descrição: clicar em um URL do FaceTime:// com formatação específica no Mensagens poderia ignorar a solicitação de confirmação padrão. Esse problema foi resolvido por meio da validação adicional de URLs do FaceTime://.
ID de CVE
CVE-2013-0970: Aaron Sigel da vtty.com
Servidor de Mensagens
Disponível para: Mac OS X Server 10.6.8, OS X Lion Server 10.7 a 10.7.5
Impacto: um invasor remoto pode redirecionar mensagens Jabber federadas
Descrição: havia um problema no processamento de mensagens de resultado de retorno de discagem por parte do servidor Jabber. Um invasor pode fazer com que o servidor Jabber divulgue informações destinadas a usuários de servidores federados. Esse problema foi resolvido por meio de melhorias no processamento de mensagens de resultado de retorno de discagem.
ID de CVE
CVE-2012-3525
PDFKit
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2
Impacto: a visualização de um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: ocorre um problema do tipo "uso após livre" no processamento de anotações em tinta em arquivos PDF. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2013-0971: Tobias Klein que trabalha na Zero Day Initiative da HP TippingPoint
Podcast Producer Server
Disponível para: Mac OS X Server 10.6.8, OS X Lion Server 10.7 a 10.7.5
Impacto: um invasor externo pode executar códigos arbitrariamente
Descrição: havia um problema de compartilhamento de tipo no Ruby no processamento de parâmetros XML pelo Rails. Esse problema foi resolvido por meio da desativação dos parâmetros XML na implementação do Rails usada pelo Podcast Producer Server.
ID de CVE
CVE-2013-0156
Podcast Producer Server
Disponível para: OS X Lion Server 10.7 a 10.7.5
Impacto: um invasor externo pode executar códigos arbitrariamente
Descrição: havia um problema de compartilhamento de tipo no Ruby no processamento de dados JSON pelo Rails. Esse problema foi resolvido por meio da mudança para o uso do back-end JSONGem para análise JSON na implementação do Rails usada pelo Podcast Producer Server.
ID de CVE
CVE-2013-0333
PostgreSQL
Disponível para: Mac OS X Server 10.6.8, OS X Lion Server 10.7 a 10.7.5
Impacto: diversas vulnerabilidades no PostgreSQL
Descrição: o PostgreSQL foi atualizado para a versão 9.1.5 para resolver diversas vulnerabilidades, a mais séria delas pode permitir que usuários de banco de dados leiam arquivos do sistema de arquivos com os privilégios da conta de função de servidor do banco de dados. Informações adicionais estão disponíveis no site do PostgreSQL em http://www.postgresql.org/docs/9.1/static/release-9-1-5.html
ID de CVE
CVE-2012-3488
CVE-2012-3489
Gerenciador de Perfil
Disponível para: OS X Lion Server 10.7 a 10.7.5
Impacto: um invasor externo pode executar códigos arbitrariamente
Descrição: havia um problema de compartilhamento de tipo no Ruby no processamento de parâmetros XML pelo Rails. Esse problema foi resolvido por meio da desativação dos parâmetros XML na implementação do Rails usada pelo Gerenciador de Perfil.
ID de CVE
CVE-2013-0156
QuickTime
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2
Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia um estouro de buffer no processamento de caixas 'rnet' em arquivos MP4. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2012-3756: Kevin Szkudlapski da QuarksLab
Ruby
Disponível para: Mac OS X Server 10.6.8
Impacto: um invasor remoto pode conseguir causar a execução arbitrária de códigos se um aplicativo Rails estiver em execução
Descrição: havia um problema de compartilhamento de tipo no Ruby no processamento de parâmetros XML pelo Rails. Esse problema foi resolvido por meio da desativação do YAML e dos símbolos em parâmetros XML no Rails.
ID de CVE
CVE-2013-0156
Segurança
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2
Impacto: um invasor com uma posição de rede privilegiada pode interceptar credenciais do usuário ou outras informações confidenciais
Descrição: vários certificados de CA intermediários foram emitidos por engano pelo TURKTRUST. Isso pode permitir que um invasor do tipo "man in the middle" redirecione as conexões e intercepte credenciais do usuário ou outras informações confidenciais. Esse problema foi resolvido ao não permitir os certificados SSL incorretos.
Atualização de Software
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5
Impacto: um invasor com uma posição de rede privilegiada pode conseguir causar a execução arbitrária de códigos
Descrição: a Atualização de Software permitiu que um ataque do tipo "man in the middle" inserisse conteúdo de plug-in no texto de marketing exibido para as atualizações. Isso pode permitir a exploração de um plug-in vulnerável ou facilitar ataques de engenharia social envolvendo plug-ins. Esse problema não afeta os sistemas OS X Mountain Lion. Ele foi resolvido ao impedir que plug-ins sejam carregados na WebView do texto de marketing da Atualização de Software.
ID de CVE
CVE-2013-0973: Emilio Escobar
Wiki Server
Disponível para: OS X Lion Server 10.7 a 10.7.5
Impacto: um invasor externo pode executar códigos arbitrariamente
Descrição: havia um problema de compartilhamento de tipo no Ruby no processamento de parâmetros XML pelo Rails. Esse problema foi resolvido por meio da desativação dos parâmetros XML na implementação do Rails usada pelo Wiki Server.
ID de CVE
CVE-2013-0156
Wiki Server
Disponível para: OS X Lion Server 10.7 a 10.7.5
Impacto: um invasor externo pode executar códigos arbitrariamente
Descrição: havia um problema de compartilhamento de tipo no Ruby no processamento de dados JSON pelo Rails. Esse problema foi resolvido por meio da mudança para o uso do back-end JSONGem para análise JSON na implementação do Rails usada pelo Wiki Server.
ID de CVE
CVE-2013-0333
Remoção de malware
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2
Descrição: essa atualização executa uma ferramenta de remoção de malware que elimina as variantes mais comuns do malware. Se o malware for encontrado, uma caixa de diálogo será exibida notificando o usuário de que o malware foi removido. Nenhuma indicação será exibida para o usuário se o malware não for encontrado.
O FaceTime não está disponível em todos os países ou regiões.