Sobre o conteúdo de segurança do OS X Mavericks 10.9.4 e a Atualização de Segurança 2014-003

Este documento descreve o conteúdo de segurança do OS X Mavericks 10.9.4 e a Atualização de Segurança 2014-003.

É possível baixar e instalar essa atualização por meio da Atualização de Software ou do site do Suporte da Apple.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.

Nota: o OS X Mavericks 10.9.4 inclui o conteúdo de segurança do Safari 7.0.5.

OS X Mavericks 10.9.4 e Atualização de Segurança 2014-003

  • Política de confiabilidade dos certificados

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 e OS X Mavericks 10.9 a 10.9.3

    Impacto: atualização para a política de confiabilidade dos certificados

    Descrição: a política de confiabilidade dos certificados foi atualizada. Veja a lista completa de certificados em http://support.apple.com/kb/HT6005?viewlocale=pt_BR.

  • copyfile

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 e OS X Mavericks 10.9 a 10.9.3

    Impacto: abrir um arquivo compactado criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de troca de byte fora dos limites no processamento de arquivos AppleDouble em arquivos compactados. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1370: Chaitanya (SegFault) que trabalha com VCP na iDefense

  • curl

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um invasor remoto pode obter acesso à sessão de outro usuário

    Descrição: cURL reutilizava conexões NTLM quando mais de um método de autenticação estava ativado, permitindo que um invasor obtivesse acesso à sessão de outro usuário.

    ID de CVE

    CVE-2014-0015

  • Dock

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 e OS X Mavericks 10.9 a 10.9.3

    Impacto: um aplicativo em área de segurança pode contornar restrições da área de segurança

    Descrição: havia um problema de variável indexada não validada no processamento, por parte do Dock, de mensagens de aplicativos. Uma mensagem criada com códigos maliciosos poderia causar o cancelamento de referência de um indicador de função inválida, o que pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos.

    ID de CVE

    CVE-2014-1371: um pesquisador anônimo que trabalha na Zero Day Initiative da HP

  • Driver da placa gráfica

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: um usuário local consegue ler a memória de kernel, que pode ser usada para ignorar a randomização de layout do espaço de endereço do kernel

    Descrição: havia um problema de leitura fora dos limite no processamento de uma chamada do sistema. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1372: Ian Beer do Google Project Zero

  • Comércio de iBooks

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um invasor com acesso a um sistema pode recuperar credenciais do ID Apple

    Descrição: havia um problema no processamento de registros do iBooks. O processo do iBooks documentava as credenciais do ID Apple no registro do iBooks, onde outros usuários do sistema podem fazer a leitura. Esse problema foi solucionado com a desativação do registro de credenciais.

    ID de CVE

    CVE-2014-1317: Steve Dunham

  • Driver da placa gráfica da Intel

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de validação no processamento de chamada da API OpenGL. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1373: Ian Beer do Google Project Zero

  • Driver da placa gráfica da Intel

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um usuário local consegue ler um indicador de kernel, que pode ser usado para ignorar a randomização de layout do espaço de endereço do kernel

    Descrição: um indicador de kernel armazenado em um objeto IOKit poderia ser recuperado do espaço do usuário. O problema foi solucionado por meio da remoção do indicador do objeto.

    ID de CVE

    CVE-2014-1375

  • Intel Compute

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de validação no processamento de uma chamada da API OpenCL. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1376: Ian Beer do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de indexação de variável no IOAcceleratorFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1377: Ian Beer do Google Project Zero

  • IOGraphicsFamily

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um usuário local consegue ler um indicador de kernel, que pode ser usado para ignorar a randomização de layout do espaço de endereço do kernel

    Descrição: um indicador de kernel armazenado em um objeto IOKit poderia ser recuperado do espaço do usuário. Esse problema foi solucionado usando um ID único, em vez de um indicador.

    ID de CVE

    CVE-2014-1378

  • IOReporting

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um usuário local poderia causar a reinicialização inesperada do sistema

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de argumentos da API IOKit. Esse problema foi solucionado pela validação adicional de argumentos da API IOKit.

    ID de CVE

    CVE-2014-1355: cunzhang do Adlab da Venustech

  • launchd

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de estouro negativo de inteiro no launchd. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1359: Ian Beer do Google Project Zero

  • launchd

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um estouro de buffer de pilha no processamento de mensagens de IPC por parte do launchd. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1356: Ian Beer do Google Project Zero

  • launchd

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um estouro de buffer de pilha no processamento de mensagens de registro por parte do launchd. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1357: Ian Beer do Google Project Zero

  • launchd

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de estouro de inteiro no launchd. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1358: Ian Beer do Google Project Zero

  • Drivers de placas gráficas

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia vários problemas de cancelamento de referência de nulo nos drivers de placas gráficas de kernel. Um executável de 32 bits com código malicioso pode ter obtido privilégios elevados.

    ID de CVE

    CVE-2014-1379: Ian Beer do Google Project Zero

  • Segurança – Chaves

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um invasor pode digitar nas janelas no bloqueio de tela

    Descrição: em circunstâncias raras, o bloqueio de tela não interceptou toques no teclado. Isso poderia permitir que um invasor digitasse nas janelas no bloqueio de tela. Esse problema foi solucionado através do gerenciamento aprimorado do observador de toques no teclado.

    ID de CVE

    CVE-2014-1380: Ben Langfeld da Mojo Lingo LLC

  • Segurança – Transporte seguro

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: dois bytes de memória poderiam ser divulgados para um invasor remoto

    Descrição: havia um problema de acesso de memória não inicializada no processamento de mensagens DTLS em uma conexão TLS. O problema foi solucionado aceitando somente mensagens DTLS em uma conexão DTLS.

    ID de CVE

    CVE-2014-1361: Thijs Alkemade do The Adium Project

  • Thunderbolt

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de acesso de memória fora dos limites no processamento de chamadas da API IOThunderBoltController. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1381: Catherine aka winocm

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: