Sobre o conteúdo de segurança do OS X Yosemite 10.10.2 e da Atualização de Segurança 2015-001

Este documento descreve o conteúdo de segurança do OS X Yosemite 10.10.2 e da Atualização de Segurança 2015-001

Para garantir a proteção de nossos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.

OS X Yosemite 10.10.2 e Atualização de Segurança 2015-001

  • Servidor AFP

    Disponível para: OS X Mavericks 10.9.5

    Impacto: um invasor remoto pode determinar todos os endereços de rede do sistema

    Descrição: o servidor de arquivos AFP aceitava um comando que retornava todos os endereços de rede do sistema. Esse problema foi solucionado com a remoção dos endereços a partir do resultado.

    ID de CVE

    CVE-2014-4426: Craig Young, da Tripwire VERT

  • bash

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: diversas vulnerabilidades no bash, incluindo uma que pode permitir que invasores locais executem código arbitrário

    Descrição: havia diversas vulnerabilidades no bash. Esses problemas foram solucionados pela atualização do bash para o nível de patch 57.

    ID de CVE

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um erro de assinatura de inteiro em IOBluetoothFamily que permitia a manipulação de memória kernel. Esse problema foi solucionado por meio de melhorias na verificação de limites. Esse problema não afeta os sistemas OS X Yosemite.

    ID de CVE

    CVE-2014-4497

  • Bluetooth

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema no driver Bluetooth que permitia que um aplicativo malicioso controlasse o tamanho de uma gravação na memória kernel. Esse problema foi solucionado por meio de melhorias na validação adicional de entrada.

    ID de CVE

    CVE-2014-8836: Ian Beer, do Google Project Zero

  • Bluetooth

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia vários problemas de segurança no driver Bluetooth, permitindo que um aplicativo malicioso executasse código arbitrário com privilégio de sistema. Os problemas foram solucionados por meio de melhorias na validação adicional de entrada.

    ID de CVE

    CVE-2014-8837: Roberto Paleari e Aristide Fattori, da Emaze Networks

  • CFNetwork Cache

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: o cache dos sites pode não ser completamente limpo após a ativação da navegação privada

    Descrição: havia um problema de privacidade em que os dados de navegação permaneciam no cache após a ativação da navegação segura. O problema foi resolvido por meio de uma alteração no comportamento do cache.

    ID de CVE

    CVE-2014-4460

  • CoreGraphics

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorria uma sobrecarga de inteiros durante o processamento de arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4481: Felipe Andres Manzano, da Binamuse VRT, por meio do iSIGHT Partners GVP Program

  • Software de CPU

    Disponível para: OS X Yosemite 10.10 e 10.10.1, para: MacBook Pro Retina, MacBook Air (meados de 2013 e versões posteriores), iMac (final de 2013 e versões posteriores), Mac Pro (final de 2013)

    Impacto: um dispositivo Thunderbolt malicioso pode afetar o flash de firmware

    Descrição: dispositivos Thunderbolt poderiam modificar o firmware do host se conectados durante uma atualização de EFI. Esse problema foi resolvido ao não carregar ROMs de opção durante atualizações.

    ID de CVE

    CVE-2014-4498: Trammell Hudson, da Two Sigma Investments

  • CommerceKit Framework

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: um invasor com acesso a um sistema pode recuperar credenciais do ID Apple

    Descrição: havia um problema no processamento de registros da App Store. O processo da App Store poderia registrar credenciais de ID da Apple no registro quando o registro adicional estivesse ativado. Esse problema foi solucionado com a desativação do registro de credenciais.

    ID de CVE

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: alguns aplicativos de terceiros com eventos de mouse e entrada de texto não segura podem registrar esses eventos

    Descrição: devido à combinação de um alocador personalizado de aplicativo e variável não inicializada, eventos de mouse e entrada de texto não segura podem ser registrados. Esse problema foi solucionado ao garantir que o registro fosse desativado por padrão. Esse problema não afeta sistemas anteriores ao OS X Yosemite.

    ID de CVE

    CVE-2014-1595: Steven Michaud, da Mozilla, que trabalha com Howard

  • CoreGraphics

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória durante o processamento de arquivos PDF. Esse problema foi solucionado através de melhorias na verificação de limites. Esse problema não afeta os sistemas OS X Yosemite.

    ID de CVE

    CVE-2014-8816: Mike Myers, da Digital Operatives LLC

  • CoreSymbolication

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia vários problemas de confusão de tipo no processamento de coresymbolicationd de mensagens XPC. Esses problemas foram solucionados através de melhorias na verificação de tipo.

    ID de CVE

    CVE-2014-8817: Ian Beer, do Google Project Zero

  • FontParser

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: o processamento de um arquivo .dfont criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória durante o processamento de arquivos .dfont. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4484: Gaurav Baruah, que trabalha na Zero Day Initiative da HP

  • FontParser

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4483: Apple

  • Foundation

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: a visualização de arquivo XML criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: havia um estouro de buffer no analisador XML. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4485: Apple

  • Driver da placa gráfica da Intel

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: diversas vulnerabilidades no driver de placa gráfica Intel

    Descrição: havia diversas vulnerabilidades no driver de placa gráfica Intel, sendo que a mais séria delas poderia resultar na execução de código arbitrário com privilégios de sistema. Esta atualização soluciona os problemas por meio de verificações adicionais de limites.

    ID de CVE

    CVE-2014-8819: Ian Beer, do Google Project Zero

    CVE-2014-8820: Ian Beer, do Google Project Zero

    CVE-2014-8821: Ian Beer, do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de IOAcceleratorFamily de determinados tipos de cliente de usuário IOService. Esse problema foi solucionado pela validação aprimorada de contextos IOAcceleratorFamily.

    ID de CVE

    CVE-2014-4486: Ian Beer, do Google Project Zero

  • IOHIDFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um estouro de buffer em IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de validação no processamento de metadados de fila de recurso de IOHIDFamily. Esse problema foi solucionado por meio de melhorias na validação de metadados.

    ID de CVE

    CVE-2014-4488: Apple

  • IOHIDFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de filas de evento da IOHIDFamily. Esse problema foi solucionado através do aprimoramento na validação de inicialização da fila de evento da IOHIDFamily.

    ID de CVE

    CVE-2014-4489: @beist

  • IOHIDFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: a execução de um aplicativo malicioso pode resultar em execução de código arbitrário dentro do kernel

    Descrição: havia um problema de verificação de limites em um cliente de usuário apresentado pelo driver IOHIDFamily, que permitia que um aplicativo malicioso substituísse partes arbitrárias do espaço do endereço de kernel. O problema foi solucionado pela remoção do método de cliente de usuário vulnerável.

    ID de CVE

    CVE-2014-8822: Vitaliy Toropov, que trabalha na Zero Day Initiative da HP

  • IOKit

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: ocorre uma sobrecarga de inteiros durante o processamento das funções de IOKit. Esse problema foi solucionado pela melhoria da validação de argumentos da API IOKit.

    ID de CVE

    CVE-2014-4389: Ian Beer, do Google Project Zero

  • IOUSBFamily

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com privilégios pode ser capaz de ler dados arbitrários da memória do kernel

    Descrição: havia um problema de acesso à memória no processamento de funções de cliente de usuário do controlador IOUSB. Esse problema foi solucionado por meio de melhorias na validação de argumentos.

    ID de CVE

    CVE-2014-8823: Ian Beer, do Google Project Zero

  • Kerberos

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: a biblioteca libgssapi do Kerberos retornava um token de contexto com um ponteiro pendente. Esse problema foi solucionado por meio de um gerenciamento aprimorado do estado.

    ID de CVE

    CVE-2014-5352

  • Kernel

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: especificar um modo de cache personalizado que permitia a gravação em segmentos de memória compartilhada de somente leitura do kernel. Esse problema foi solucionado pela não concessão de permissões de gravação como um efeito "colateral" de alguns modos de cache personalizado.

    ID de CVE

    CVE-2014-4495: Ian Beer, do Google Project Zero

  • Kernel

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: existia um problema de validação no processamento de determinados campos de metadados dos objetos de IODataQueue. Esse problema foi solucionado por meio de melhorias na validação de metadados.

    ID de CVE

    CVE-2014-8824: @PanguTeam

  • Kernel

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: um invasor local pode falsificar respostas do serviço de diretório para o kernel, elevar privilégios ou obter execução do kernel

    Descrição: havia problemas na validação de identitysvc do processo de solução do serviço de diretório, processamento de sinalização e processamento de erros. Esse problema foi solucionado por meio de melhorias na validação.

    ID de CVE

    CVE-2014-8825: Alex Radocea, da CrowdStrike

  • Kernel

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: um usuário local pode determinar o layout de memória do kernel

    Descrição: existiam diversos problemas de memória não inicializada na interface de estatísticas de rede, que levavam à divulgação do conteúdo da memória de kernel. Esse problema foi solucionado por meio de uma inicialização adicional da memória.

    ID de CVE

    CVE-2014-4371: Fermin J. Serna, da Google Security Team

    CVE-2014-4419: Fermin J. Serna, da Google Security Team

    CVE-2014-4420: Fermin J. Serna, da Google Security Team

    CVE-2014-4421: Fermin J. Serna, da Google Security Team

  • Kernel

    Disponível para: OS X Mavericks 10.9.5

    Impacto: uma pessoa com uma posição privilegiada na rede pode causar uma negação de serviço

    Descrição: um problema de condição de corrida existiu no processamento de pacotes IPv6. Esse problema foi solucionado por meio da melhoria da verificação de estado bloqueado.

    ID de CVE

    CVE-2011-2391

  • Kernel

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: Aplicativos do comprometidos ou criados com códigos mal-intencionados podem ser capazes de determinar endereços no kernel

    Descrição: havia um problema de divulgação de informações no processamento de APIs relacionadas a extensões de kernel. Respostas contendo uma chave OSBundleMachOHeaders podem ter incluído endereços kernel, que podem auxiliar a ignorar a proteção de randomização de layout do espaço de endereço. Esse problema foi resolvido deslizando os endereços antes de retorná-los.

    ID de CVE

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de validação no processamento de determinados campos de metadados dos objetos de IOSharedDataQueue. O problema foi resolvido por meio de nova localização dos metadados.

    ID de CVE

    CVE-2014-4461: @PanguTeam

  • LaunchServices

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um arquivo JAR malicioso pode ignorar verificações do Gatekeeper

    Descrição: havia um problema no processamento de inicializações de aplicativo, que permitia que determinados arquivos JAR maliciosos ignorassem verificações do Gatekeeper. Esse problema foi solucionado por meio do processamento aprimorado de metadados de tipo de arquivo.

    ID de CVE

    CVE-2014-8826: Hernan Ochoa, da Amplia Security

  • libnetcore

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um app isolado e mal-intencionado pode comprometer o daemon networkd

    Descrição: havia vários problemas de confusão de tipo no processamento de networkd de comunicação entre processos. Ao enviar uma mensagem formatada com códigos mal-intencionados para o networkd, era possível executar códigos arbitrários como o processo networkd. Esse problema foi resolvido por meio de verificações de tipos adicionais.

    ID de CVE

    CVE-2014-4492: Ian Beer, do Google Project Zero

  • Janela de Início de Sessão

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um Mac pode não ser imediatamente bloqueado após despertar

    Descrição: havia um problema no processamento da tela bloqueada. Esse problema foi solucionado por meio de melhorias no processamento da tela bloqueada.

    ID de CVE

    CVE-2014-8827: Xavier Bertels, da Mono, e vários testadores de seed do OS X

  • lukemftp

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: o uso da ferramenta ftp da linha de comando para analisar arquivos de um servidor http malicioso pode resultar na execução de código arbitrário

    Descrição: havia um problema na injeção de comando no processamento de redirecionamentos de HTTP. Esse problema foi solucionado por meio de melhorias na validação de caracteres especiais.

    ID de CVE

    CVE-2014-8517

  • ntpd

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: o uso do daemon ntp com autenticação criptográfica ativada pode resultar em vazamentos de informação

    Descrição: havia vários problemas de validação de entrada no ntdp. Esses problemas foram solucionados através de melhorias na validação de dados.

    ID de CVE

    CVE-2014-9297

  • OpenSSL

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: diversas vulnerabilidades em OpenSSL 0.9.8za, including one that may allow an attacker to downgrade connections to use weaker cipher-suites in applications using the library

    Descrição: havia diversas vulnerabilidades no OpenSSL 0.9.8za. Esses problemas foram resolvidos com a atualização do OpenSSL para a versão 0.9.8zc.

    ID de CVE

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Área de proteção

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impacto: um processo em área de segurança pode contornar restrições da área de segurança

    Descrição: havia um problema de projeto no armazenamento em cache de perfis de sandbox, o que permitia que aplicativos de sandbox obtivessem acesso de gravação ao cache. Esse problema foi solucionado pela restrição do acesso de gravação a caminhos contendo um segmento "com.apple.sandbox". Esse problema não afeta sistemas que executam o OS X Yosemite 10.10 ou posterior.

    ID de CVE

    CVE-2014-8828: Apple

  • SceneKit

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impacto: um aplicativo malicioso poderia executar código arbitrário, comprometendo as informações do usuário

    Descrição: havia vários problemas de gravação fora do limite no SceneKit. Esses problemas foram solucionados através de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-8829: Jose Duart, da Google Security Team

  • SceneKit

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: a visualização de arquivo Collada criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: havia um estouro de buffer de pilha no processamento do SceneKit de arquivos Collada. Visualizar um arquivo Collada criado com códigos maliciosos podia causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado por meio de melhorias na validação de elementos do assessor.

    ID de CVE

    CVE-2014-8830: Jose Duart, da Google Security Team

  • Segurança

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo baixado com uma assinatura de certificado de ID de desenvolvedor revogado podia passar pelas verificações do Gatekeeper

    Descrição: havia um problema na maneira como as informações de certificado de aplicativo armazenado em cache eram avaliadas. Esse problema foi solucionado por meio de melhorias na lógica do armazenamento em cache.

    ID de CVE

    CVE-2014-8838: Apple

  • security_taskgate

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um app pode acessar itens de Chaves pertencendo a outros apps

    Descrição: havia um problema de controle de acesso nas Chaves. Aplicativos assinados com certificados de ID de desenvolvedor ou autoassinados poderiam acessar itens de chaves cujas listas de controle de acesso tinham como base grupos de chaves. Esse problema foi solucionado pela validação da identidade de assinatura ao conceder acesso a grupos de Chaves.

    ID de CVE

    CVE-2014-8831: Apple

  • Spotlight

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: o remetente de um e-mail poderia determinar o endereço IP do destinatário

    Descrição: o Spotlight não verificou o status do ajuste "Carregar conteúdo remoto nas mensagens" do Mail. Esse problema foi resolvido por meio de melhorias na verificação de configuração.

    ID de CVE

    CVE-2014-8839: John Whitehead, do The New York Times, e Frode Moe, do LastFriday.no

  • Spotlight

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: o Spotlight pode salvar informações inesperadas em um disco rígido externo

    Descrição: havia um problema no Spotlight no qual o conteúdo da memória poderia ser gravado em discos rígidos externos ao indexar. Esse problema foi solucionado por meio de um gerenciamento aprimorado da memória.

    ID de CVE

    CVE-2014-8832: F-Secure

  • SpotlightIndex

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: o Spotlight pode exibir resultados para arquivos que não pertencem ao usuário

    Descrição: havia um problema de desserialização no processamento de caches de permissão do Spotlight. Um usuário realizando uma consulta no Spotlight pode visualizar resultados de pesquisa fazendo referência a arquivos para os quais ele não tem privilégios suficientes de leitura. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-8833: David J Peacock, consultor independente de tecnologia

  • sysmond

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.1

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de raiz

    Descrição: havia uma vulnerabilidade de confusão de tipo no sysmond que permitia que um aplicativo local escalonasse privilégios. Esse problema foi solucionado por meio de melhorias na verificação de tipo.

    ID de CVE

    CVE-2014-8835: Ian Beer, do Google Project Zero

  • UserAccountUpdater

    Disponível para: OS X Yosemite 10.10 e 10.10.1

    Impacto: arquivos de preferência relacionados à impressão podem conter informações confidenciais sobre documentos PDF

    Descrição: o OS X Yosemite 10.10 solucionou um problema no processamento de arquivos PDF protegidos por senha criados do diálogo Imprimir nos quais senhas poderiam ter sido incluídas em arquivos de preferência de impressão. Esta atualização remove informações irrelevantes que foram apresentadas em arquivos de preferência de impressão.

    ID de CVE

    CVE-2014-8834: Apple

Nota: o OS X Yosemite 10.10.2 inclui o conteúdo de segurança do Safari 8.0.3.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: