Sobre o conteúdo de segurança do OS X Mountain Lion 10.8.5 e atualização de segurança 2013-004

Este documento descreve o conteúdo de segurança do OS X Mountain Lion 10.8.5 e atualização de segurança 2013-004.

Eles podem ser baixados e instalados através das preferências de Atualização de Software ou através de Downloads da Apple.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple". 

OS X Mountain Lion 10.8.5 e atualização de segurança 2013-004

  • Apache

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 até v10.8.4

    Impacto: diversas vulnerabilidades no Apache

    Descrição: havia diversas vulnerabilidades no Apache, dentre as quais a mais grave podia causar a execução de scripts entre sites. Esses problemas foram resolvidos atualizando o Apache para a versão 2.2.24.

    ID de CVE

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: diversas vulnerabilidades no BIND

    Descrição: existiam diversas vulnerabilidades no BIND, sendo que a mais grave podia levar a uma negação de serviço. Esses problemas foram resolvidos atualizando o BIND para a versão 9.8.5-P1. CVE-2012-5688 não afetou sistemas Mac OS X v10.7.

    ID de CVE

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Política de confiabilidade dos certificados

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: certificados raiz foram atualizados

    Descrição: vários certificados foram adicionados à lista de raízes de sistema ou removidos dessa lista. A lista completa de raízes de sistema reconhecidas pode ser visualizada no aplicativo Acesso às chaves.

  • ClamAV

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    Impacto: diversas vulnerabilidades no ClamAV

    Descrição: existiam diversas vulnerabilidades no ClamAV, entre as quais a mais séria podia causar a execução de códigos arbitrários. Esta atualização lida com problemas atualizando o ClamAV para a versão 0.97.8.

    ID de CVE

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: a visualização de um arquivo PDF criado com códigos mal-intencionados pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários

    Descrição: existia um estouro de buffer no processamento de dados codificados do JBIG2 nos arquivos PDF. Esse problema foi resolvido por meio de verificações de limites adicionais.

    ID de CVE

    CVE-2013-1025: Felix Groebert da equipe de Segurança do Google

  • ImageIO

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: a visualização de um arquivo PDF criado com códigos mal-intencionados pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários

    Descrição: existia um estouro de buffer durante o processamento de dados com codificação JPEG2000 em arquivos PDF. Esse problema foi resolvido por meio de verificações de limites adicionais.

    ID de CVE

    CVE-2013-1026: Felix Groebert da equipe de Segurança do Google

  • Instalador

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: os pacotes não podem ser abertos depois da revogação do certificado

    Descrição: quando o instalador encontrava um certificado revogado, ele apresentava uma caixa de diálogo com uma opção para continuar. O problema foi resolvido removendo a caixa de diálogo e recusando qualquer pacote revogado.

    ID de CVE

    CVE-2013-1027

  • IPSec

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: um atacante pode interceptar dados protegidos com IPSec Hybrid Auth

    Descrição: o nome DNS de um servidor IPSec Hybrid Auth não achava correspondência no certificado, permitindo que um atacante com um certificado para qualquer servidor assumir a personalidade de qualquer outro. Este problema foi resolvido verificando corretamente o certificado.

    ID de CVE

    CVE-2013-1028: Alexander Traud da www.traud.de

  • Kernel

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: um usuário de rede local pode causar negação de serviço

    Descrição: uma verificação incorreta no código de análise do pacote IGMP no kernel permitia a um usuário com autorização para enviar pacotes IGMP para o sistema causar uma pane no kernel. O problema foi tratado removendo a verificação.

    ID de CVE

    CVE-2013-1029: Christopher Bohn da PROTECTSTAR INC.

  • Gerenciamento de dispositivo celular

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: as senhas podem ser divulgadas para outros usuários locais

    Descrição: uma senha era passada na linha de comando para mdmclient, que a tornava invisível para outros usuários no mesmo sistema. O problema foi resolvido comunicando a senha através de um canal.

    ID de CVE

    CVE-2013-1030: Per Olofsson na Universidade de Gothenburg

  • OpenSSL

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: várias vulnerabilidades no OpenSSL

    Descrição: existiam diversas vulnerabilidades no OpenSSL, entre as quais a mais séria podia causar a divulgação de dados de usuário. Esses problemas foram resolvidos com a atualização do OpenSSL para a versão 0.9.8y.

    ID de CVE

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: diversas vulnerabilidades no PHP

    Descrição: existiam diversas vulnerabilidades no PHP, entre as quais a mais séria podia causar a execução de códigos arbitrários. Esses problemas foram resolvidos com a atualização do PHP para a versão 5.3.26.

    ID de CVE

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: várias vulnerabilidades no PostgreSQL

    Descrição: existiam diversas vulnerabilidades no PostgreSQL, a mais séria delas podia resultar dados corrompidos ou escalonamento de privilégios. CVE-2013-1901 não afeta os sistemas OS X Lion. Esta atualização corrige os problemas atualizando o PostgreSQL para a versão 9.1.9 nos sistemas OS X Mountain Lion e 9.0.4 nos sistemas OS X Lion.

    ID de CVE

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Gerenciamento de energia

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: o protetor de tela pode não entrar depois do período de tempo especificado

    Descrição: existia um problema de bloqueio de asserção de alimentação. Esse problema foi solucionado por meio de um processamento melhorado do bloqueio.

    ID de CVE

    CVE-2013-1031

  • QuickTime

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: a visualização de arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: havia um problema de memória corrompida durante o processamento de átomos "idsc" nos arquivos de filme QuickTime. Esse problema foi resolvido por meio de verificações de limites adicionais.

    ID de CVE

    CVE-2013-1032: Jason Kratzer trabalhando no iDefense VCP

  • Bloqueio da tela

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: um usuário com a tela compartilhando acesso pode conseguir ignorar o bloqueio da tela quando o outro usuário está com a sessão iniciada

    Descrição: existia um problema de gerenciamento de sessão no processamento do bloqueio da tela das sessões de compartilhamento da tela. Esse problema foi resolvido por meio de rastreamentos de estados melhorados.

    ID de CVE

    CVE-2013-1033: Jeff Grisso da Atos IT Solutions, Sébastien Stormacq

  • sudo

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: um atacante com controle de uma conta de usuário administrador pode conseguir obter privilégios raiz sem conhecer a senha do usuário

    Descrição: ajustando o relógio do sistema, um atacante podia usar o sudo para obter privilégios raiz em sistemas onde o sudo foi usado antes. No OS X, apenas os usuários administradores podem mudar o relógio do sistema. Este problema foi resolvido verificando se há uma marcação de hora inválida.

    ID de CVE

    CVE-2013-1775

 

  • Nota: o OS X Mountain Lion v10.8.5 também trata de um problema no qual determinadas sequências Unicode podem fazer com que os aplicativos encerrem inesperadamente.

 

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: