Sobre o conteúdo de segurança do OS X Mountain Lion 10.8.4 e atualização de segurança 2013-002

Este documento descreve o conteúdo de segurança do OS X Mountain Lion 10.8.4 e da Atualização de segurança 2013-002, que pode ser transferida e instalada por meio das preferências da Atualização de Software ou na página de Downloads da Apple.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a Chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".
 

OS X Mountain Lion 10.8.4 e atualização de segurança 2013-002

Nota: o OS X Mountain Lion 10.8.4 inclui o conteúdo do Safari 6.0.5. Para mais detalhes, consulte Sobre o conteúdo de segurança do Safari 6.0.5.

  • CFNetwork

    Disponível para: OS X Mountain Lion 10.8 a 10.8.3

    Impacto: um invasor com acesso à sessão de um usuário pode conseguir iniciar uma sessão em sites acessados anteriormente, mesmo se a Navegação Privada tiver sido usada

    Descrição: cookies permanentes eram salvos depois do encerramento do Safari, mesmo quando a Navegação Privada estava habilitada. Esse problema foi solucionado por meio de melhorias no processamento de cookies.

    ID de CVE

    CVE-2013-0982: Alexander Traud da www.traud.de

  • CoreAnimation

    Disponível para: OS X Mountain Lion 10.8 a 10.8.3

    Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema de alocação de pilha ilimitada durante o processamento de glifos de texto. Isso poderia ser acionado por URLs criados com más intenções no Safari. Esse problema foi solucionado através de melhorias na verificação de limites.

    ID de CVE

    CVE-2013-0983: David Fifield da Stanford University, Ben Syverson

  • CoreMedia Playback

    Disponível para: OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.3

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de acesso à memória não inicializada no processamento de faixas de texto. Esse problema foi solucionado por validação adicional de faixas de texto.

    ID de CVE

    CVE-2013-1024: Richard Kuo e Billy Suguitan da Triemt Corporation

  • CUPS

    Disponível para: OS X Mountain Lion 10.8 a 10.8.3

    Impacto: um usuário local no grupo lpadmin pode conseguir ler ou gravar arquivos arbitrários com privilégios do sistema

    Descrição: havia um problema de escalonamento de privilégio no processamento de configuração do CUPS através da interface na web do CUPS. Um usuário local no grupo lpadmin pode conseguir ler ou gravar arquivos arbitrários com privilégios do sistema. Esse problema foi resolvido movendo determinadas diretivas de configuração para cups-files.conf, que não pode ser modificado da interface da web do CUPS.

    ID de CVE

    CVE-2012-5519

  • Serviço de diretório

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impacto: um invasor remoto pode executar código arbitrário com privilégios do sistema em sistemas com o Serviço de Diretório habilitado

    Descrição: havia um problema durante o processamento de mensagens de rede pelo servidor de diretórios. Ao enviar uma mensagem criada com más intenções, um invasor remoto poderia fazer com que o servidor de diretórios encerrasse ou executasse código arbitrário com privilégios do sistema. Esse problema foi solucionado por meio de melhorias na verificação de limites. Esse problema não afeta sistemas OS X Lion ou OS X Mountain Lion.

    ID de CVE

    CVE-2013-0984: Nicolas Economou da Core Security

  • Gerenciamento de disco

    Disponível para: OS X Mountain Lion 10.8 a 10.8.3

    Impacto: um usuário local pode desabilitar o FileVault

    Descrição: um usuário local que não é um administrador pode desabilitar o FileVault usando a linha de comando. Esse problema foi resolvido acrescentando-se autenticação adicional.

    ID de CVE

    CVE-2013-0985

  • OpenSSL

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.3

    Impacto: um invasor pode ser capaz de decodificar dados protegidos por SSL

    Descrição: havia ataques conhecidos sobre a confidencialidade do TLS 1.0 quando a compactação estava habilitada. Esse problema foi resolvido ao desabilitar a compactação no OpenSSL.

    ID de CVE

    CVE-2012-4929: Juliano Rizzo e Thai Duong

  • OpenSSL

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.3

    Impacto: várias vulnerabilidades no OpenSSL

    Descrição: o OpenSSL foi atualizado para a versão 0.9.8x para solucionar várias vulnerabilidades, que podem resultar em negação de serviço ou divulgação de uma chave privada. Mais informações estão disponíveis no site da OpenSSL em http://www.openssl.org/news/

    ID de CVE

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Disponível para: OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.2

    Impacto: abrir uma imagem PICT criada com códigos maliciosos pode causar o fechamento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer durante o processamento imagens PICT. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2013-0975: Tobias Klein que trabalha na Zero Day Initiative da HP

  • QuickTime

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.3

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer durante o processamento de átomos 'enof'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2013-0986: Tom Gallagher (Microsoft) e Paul Bates (Microsoft) em conjunto com a Zero Day Initiative da HP

  • QuickTime

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.3

    Impacto: a visualização de arquivo QTIF criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: havia um problema de corrupção de memória durante o processamento de arquivos QTIF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2013-0987: roob em conjunto com o VCP da iDefense

  • QuickTime

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.3

    Impacto: a visualização de arquivo FPX criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: havia um estouro de buffer durante o processamento de arquivos FPX. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2013-0988: G. Geshev em conjunto com a Zero Day Initiative da HP

  • QuickTime

    Disponível para: OS X Mountain Lion 10.8 a 10.8.3

    Impacto: reproduzir um arquivo de MP3 criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: havia um estouro de buffer durante o processamento de arquivos MP3. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2013-0989: G. Geshev em conjunto com a Zero Day Initiative da HP

  • Ruby

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impacto: várias vulnerabilidades no Ruby on Rails

    Descrição: havia diversas vulnerabilidades no Ruby on Rails, a mais grave delas podendo resultar em execução arbitrária de código em sistemas executando aplicativos Ruby on Rails. Esses problemas foram resolvidos pela atualização do Ruby on Rails para a versão 2.3.18. Esse problema pode afetar os sistemas OS X Lion ou OS X Mountain Lion que tiverem sido atualizados de Mac OS X 10.6.8 ou versão anterior. Os usuários podem atualizar gems afetados nesses sistemas usando o utilitário /usr/bin/gem.

    ID de CVE

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Disponível para: OS X Lion 10.7 a 10.7.5, OS X Lion Server 10.7 a 10.7.5, OS X Mountain Lion 10.8 a 10.8.3

    Impacto: um usuário autenticado pode conseguir gravar arquivos fora do diretório compartilhado

    Descrição: se o compartilhamento de arquivos SMB estiver habilitado, um usuário autenticado poderá conseguir gravar arquivos fora do diretório compartilhado. Esse problema foi solucionado através de melhorias no controle de acesso.

    ID de CVE

    CVE-2013-0990: Ward van Wanrooij

  • Nota: a partir do OS X 10.8.4, aplicativos Java Web Start (ou seja, JNLP) baixados da internet precisam ser assinados com um certificado de identificação do desenvolvedor. O Gatekeeper verificará a existência de uma assinatura em aplicativos Java Web Start baixados e impedirá a inicialização de tais aplicativos se não estiverem devidamente assinados.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: