Sobre a Atualização de Segurança 2015-002

Este documento descreve o conteúdo de segurança da Atualização de Segurança 2015-002.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do Produto Apple, consulte o site Segurança do Produto Apple.

Para mais informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.

Atualização de Segurança 2015-002

  • IOAcceleratorFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.2

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: um erro off-by-one ocorria no IOAcceleratorFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-P1066 : Ian Beer do Google Project Zero

  • IOSurface

    Disponível para: OS X Mountain Lion 10.8.5 e OS X Mavericks 10.9.5

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: um problema do tipo confusão ocorria na manipulação de objetos serializados do IOSurface. Esse problema foi resolvido por meio de verificações de tipos adicionais.

    ID de CVE

    CVE-2015-1061 : Ian Beer do Google Project Zero

  • Kernel

    Disponível para: OS X Yosemite 10.10.2

    Impacto: aplicativos comprometidos ou criados com códigos maliciosos podem ser capazes de determinar endereços no kernel

    Descrição: a interface do kernel mach_port_kobject vazou endereços e o valor de permutação da pilha do kernel, o que pode ajudar a ultrapassar a proteção de randomização do layout de espaço do endereço. Isso foi resolvido desativando a interface mach_port_kobject nas configurações de produção.

    ID de CVE

    CVE-2014-4496 : TaiG Jailbreak Team

  • Transporte seguro

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.2

    Impacto: um invasor com uma posição de rede privilegiada pode interceptar as conexões SSL/TLS

    Descrição: o transporte seguro aceitou chaves RSA efêmeras curtas, em geral usadas somente para exportação de conjuntos de codificação de RSA fortes em conexões usando toda a força dos conjuntos de codificação RSA. Esse problema, também conhecido como FREAK, afetava apenas conexões de servidores compatíveis com a exportação de conjuntos de codificação de segurança RSA fortes e foi corrigido por meio da remoção do suporte para chaves RSA efêmeras.

    ID de CVE

    CVE-2015-1067 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti e Jean Karim Zinzindohoue da Prosecco em Inria, Paris

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: