Sobre o conteúdo de segurança do OS X Mavericks 10.9.5 e a Atualização de Segurança 2014-004

Este documento descreve o conteúdo de segurança do OS X Mavericks 10.9.5 e a Atualização de Segurança 2014-004.

Essa atualização pode ser transferida e instalada por meio da Atualização de Software ou do site de Suporte da Apple.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a Chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras atualizações de segurança, consulte "Atualizações de segurança da Apple.

Nota: o OS X Mavericks 10.9.5 inclui o conteúdo de segurança do Safari 7.0.6.

OS X Mavericks 10.9.5 e Atualização de Segurança 2014-004

  • apache_mod_php

    Disponível para: OS X Mavericks 10.9 a 10.9.4

    Impacto: diversas vulnerabilidades no PHP 5.4.24

    Descrição: havia diversas vulnerabilidades no PHP 5.4.24, entre as quais a mais séria podia causar a execução arbitrária de códigos. Esta atualização resolve problemas atualizando o PHP para a versão 5.4.30

    ID de CVE

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Disponível para: OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de validação no processamento de chamada da API Bluetooth. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4390: Ian Beer do Google Project Zero

  • CoreGraphics

    Disponível para: OS X Mavericks 10.9 a 10.9.4

    Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou divulgação de informações

    Descrição: ocorria um problema de leitura fora dos limites durante o processamento de arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4378: Felipe Andres Manzano da Binamuse VRT, em colaboração com o Programa GVP da iSIGHT Partners

  • CoreGraphics

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorria uma sobrecarga de inteiros durante o processamento de arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4377: Felipe Andres Manzano da Binamuse VRT, em colaboração com o Programa GVP da iSIGHT Partners

  • Foundation

    Disponível para: OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo usando o NSXMLParser pode ser usado de forma incorreta para divulgar informações

    Descrição: havia um problema na Entidade Externa XML no processamento de NSXMLParser do XML. Este problema foi resolvido ao não carregar entidades externas nas origens.

    ID de CVE

    CVE-2014-4374: George Gal da VSR (http://www.vsecurity.com/)

  • Driver da placa gráfica da Intel

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: compilar shaders GLSL não confiáveis pode resultar no encerramento inesperado de um aplicativo ou na execução de código arbitrário

    Descrição: havia um estouro de buffer no espaço do usuário no compilador do shader. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4393: Apple

  • Driver da placa gráfica da Intel

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia vários problemas de validação em algumas rotinas integradas de driver da placa gráfica. Esses problemas foram solucionados através de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4394: Ian Beer do Google Project Zero

    CVE-2014-4395: Ian Beer do Google Project Zero

    CVE-2014-4396: Ian Beer do Google Project Zero

    CVE-2014-4397: Ian Beer do Google Project Zero

    CVE-2014-4398: Ian Beer do Google Project Zero

    CVE-2014-4399: Ian Beer do Google Project Zero

    CVE-2014-4400: Ian Beer do Google Project Zero

    CVE-2014-4401: Ian Beer do Google Project Zero

    CVE-2014-4416: Ian Beer do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de argumentos da API IOKit. Esse problema foi solucionado pela melhoria da validação de argumentos da API IOKit.

    ID de CVE

    CVE-2014-4376: Ian Beer do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de leitura fora dos limites no processamento de uma função IOAcceleratorFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4402: Ian Beer do Google Project Zero

  • IOHIDFamily

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: um usuário local pode ler indicadores de kernel, que podem ser usados para evitar a randomização de layout do espaço de endereço de kernel

    Descrição: havia um problema de leitura fora dos limites no processamento de uma função de IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4379: Ian Beer do Google Project Zero

  • IOKit

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: existia um problema de validação no processamento de determinados campos de metadados dos objetos de IODataQueue. Esse problema foi solucionado por meio de melhorias na validação de metadados.

    ID de CVE

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: ocorre uma sobrecarga de inteiros durante o processamento das funções de IOKit. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4389: Ian Beer do Google Project Zero

  • Kernel

    Disponível para: OS X Mavericks 10.9 a 10.9.4

    Impacto: um usuário local poderia inferir endereços kernel e ignorar a randomização de layout do espaço de endereço kernel

    Descrição: em alguns casos, a tabela de descritor global de CPU era alocada a um endereço previsível. Esse problema foi solucionado por meio da alocação da tabela do descritor local sempre a endereços aleatórios.

    ID de CVE

    CVE-2014-4403: Ian Beer do Google Project Zero

  • Libnotify

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de raiz

    Descrição: existia um problema de gravação fora dos limites no Libnotify. Esse problema foi solucionado por meio de melhorias na verificação de limites

    ID de CVE

    CVE-2014-4381: Ian Beer do Google Project Zero

  • OpenSSL

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: diversas vulnerabilidades no OpenSSL 0.9.8y, incluindo uma que pode resultar em execução de código arbitrária

    Descrição: havia diversas vulnerabilidades no OpenSSL 0.9.8y. Esta atualização resolve os problemas atualizando o OpenSSL para a versão 0.9.8za.

    ID de CVE

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: reproduzir um arquivo de vídeo criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória durante o processamento de arquivos de filme codificado RLE. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1391: Fernando Munoz que trabalha na iDefense VCP, Tom Gallagher e Paul Bates que trabalha na Zero Day Initiative da HP

  • QT Media Foundation

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: reproduzir um arquivo MIDI criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer durante o processamento de arquivos MIDI. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4350: s3tm3m que trabalha na Zero Day Initiative da HP

  • QT Media Foundation

    Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.4

    Impacto: reproduzir um arquivo de vídeo criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no tratamento de átomos 'mvhd'. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4979: Andrea Micalizzi, a saber, rgod, que trabalha na Zero Day Initiative da HP

  • ruby

    Disponível para: OS X Mavericks 10.9 a 10.9.4

    Impacto: um invasor externo pode executar um código arbitrário

    Descrição: havia um estouro de buffer de pilha no processamento de caracteres codificados em percentual em uma URI por parte do LibYAML. Esse problema foi solucionado por meio de melhorias na verificação de limites. Esta atualização resolve os problemas atualizando o LibYAML para a versão 0.1.6

    ID de CVE

    CVE-2014-2525

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: