Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto Apple.
Para obter informações sobre a Chave PGP de Segurança do produto Apple, consulte "Como usar a Chave PGP de Segurança do produto Apple".
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras atualizações de segurança, consulte "Atualizações de segurança da Apple".
OS X Yosemite 10.10.3 e Atualização de Segurança 2015-004
Estrutura de administrador
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: um processo pode obter privilégios de administrador sem a devida autenticação
Descrição: havia um problema ao verificar direitos de XPC. Esse problema foi resolvido com o aprimoramento da verificação de direitos.
ID de CVE
CVE-2015-1130: Emil Kvarnhammar da TrueSec
- Apache
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: diversas vulnerabilidades no Apache
Descrição: havia diversas vulnerabilidades nas versões do Apache anteriores a 2.4.10 e 2.2.29, uma delas podia permitir que um invasor remoto executasse códigos arbitrários. O problema foi solucionado com a atualização do Apache para as versões 2.4.10 e 2.2.29
ID de CVE
CVE-2013-5704
CVE-2013-6438
CVE-2014-0098
CVE-2014-0117
CVE-2014-0118
CVE-2014-0226
CVE-2014-0231
ATS
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: um usuário local pode executar códigos arbitrários com privilégios de sistema
Descrição: havia vários problemas de validação de entrada no fontd. Esses problemas foram solucionados por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-1131: Ian Beer do Google Project Zero
CVE-2015-1132: Ian Beer do Google Project Zero
CVE-2015-1133: Ian Beer do Google Project Zero
CVE-2015-1134: Ian Beer do Google Project Zero
CVE-2015-1135: Ian Beer do Google Project Zero
Política de confiabilidade dos certificados
Impacto: atualização para a política de confiabilidade dos certificados
Descrição: a política de confiabilidade dos certificados foi atualizada. Veja a lista completa de certificados.
CFNetwork HTTPProtocol
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: cookies pertencentes a uma origem podem ser enviados a outra
Descrição: havia um problema de cookie entre domínios no processamento do redirecionamento. Os cookies definidos em uma resposta de redirecionamento podiam ser transmitidos a um destino de redirecionamento pertencente a outra origem. O problema foi resolvido por meio da melhoria no processamento de redirecionamento.
ID de CVE
CVE-2015-1089: Niklas Keller (http://kelunik.com)
Sessão do CFNetwork
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: as credenciais de autenticação podem ser enviadas a um servidor em outra origem
Descrição: havia um problema de cabeçalho de solicitação HTTP entre domínios no processamento de redirecionamentos. Os cabeçalhos de solicitação HTTP enviados na resposta de redirecionamento podiam ser transmitidos a outra origem. O problema foi resolvido por meio da melhoria no processamento de redirecionamento.
ID de CVE
CVE-2015-1091: Diego Torres (http://dtorres.me)
CFURL
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: acessar um site criado com códigos mal-intencionados pode causar a execução aleatória de códigos
Descrição: havia um problema de validação de entrada no processamento de URL. Esse problema foi solucionado por meio de melhorias na validação de URL.
ID de CVE
CVE-2015-1088: Luigi Galli
CoreAnimation
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: acessar um site criado com códigos mal-intencionados pode causar a execução aleatória de códigos
Descrição: havia um problema de uso pós-liberação no CoreAnimation. Esse problema foi resolvido por meio da melhoria do gerenciamento do mutex.
ID de CVE
CVE-2015-1136: Apple
FontParser
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: processar um arquivo de fonte mal-intencionado pode resultar na execução arbitrária de códigos
Descrição: diversos problemas de memória corrompida ocorriam no processamento de arquivos de fonte. Esses problemas foram solucionados por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-1093: Marc Schoenefeld
Driver da placa gráfica
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: um usuário local pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de cancelamento de referência de indicador nulo no processamento de determinados tipos de cliente de usuário do IOService pelo driver de gráficos NVIDIA. Esse problema foi solucionado com o aumento da validação de contexto.
ID de CVE
CVE-2015-1137: Frank Graziano e John Villamil da Yahoo Pentest Team
Hipervisor
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: um aplicativo local pode causar uma negação de serviço
Descrição: havia um problema de validação de entrada na estrutura do hipervisor. Esse problema foi solucionado por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-1138: Izik Eidus e Alex Fishman
ImageIO
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: processar um arquivo .sgi mal-intencionado pode resultar na execução de códigos arbitrários
Descrição: havia um problema de memória corrompida durante o processamento de arquivos .sgi. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-1139: Apple
IOHIDFamily
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: um dispositivo HID mal-intencionado pode causar a execução arbitrária de códigos
Descrição: havia um problema de memória corrompida em uma API IOAcceleratorFamily. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-1095: Andrew Church
IOHIDFamily
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: um usuário local pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um estouro de buffer em IOHIDFamily. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-1140: lokihardt@ASRT que trabalha na Zero Day Initiative da HP, Luca Todesco, Vitaliy Toropov que trabalha na Zero Day Initiative (ZDI) da HP
IOHIDFamily
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: um usuário local pode determinar o layout de memória do kernel.
Descrição: havia um problema no IOHIDFamily que causou a divulgação do conteúdo da memória do kernel. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-1096: Ilja van Sprundel da IOActive
IOHIDFamily
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Impacto: um aplicativo mal-intencionado pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de estouro de buffer de pilha no processamento de propriedades de mapeamento de chave da IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4404: Ian Beer do Google Project Zero
IOHIDFamily
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Impacto: um aplicativo mal-intencionado pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um cancelamento de referência de indicador nulo no processamento das propriedades de mapeamento de chave no IOHIDFamily. Esse problema foi resolvido pela melhoria na validação das principais propriedades de mapeamento do IOHIDFamily.
ID de CVE
CVE-2014-4405: Ian Beer do Google Project Zero
IOHIDFamily
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Impacto: um usuário pode causar a execução arbitrária de códigos com privilégios do sistema
Descrição: havia um problema de gravação fora dos limites na unidade IOHIDFamily. Esse problema foi solucionado por meio de melhorias na validação de entrada.
ID de CVE
CVE-2014-4380: cunzhang, do Adlab da Venustech
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: um usuário local pode ser capaz de causar o encerramento inesperado do sistema
Descrição: havia um problema no processamento de operações de memória virtual no kernel. O problema foi solucionado por meio da melhoria no processamento da operação mach_vm_read.
ID de CVE
CVE-2015-1141: Ole Andre Vadla Ravnas do www.frida.re
Kernel
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: um usuário local pode causar uma negação de serviço do sistema
Descrição: havia uma condição de corrida na chamada de sistema setreuid do kernel. Esse problema foi resolvido por meio da melhoria no gerenciamento de estado.
ID de CVE
CVE-2015-1099: Mark Mentovai do Google Inc.
Kernel
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: um aplicativo local pode escalonar privilégios usando um serviço comprometido feito para ser executado com privilégios reduzidos
Descrição: as chamadas de sistema setreuid e setregid falharam em remover os privilégios permanentemente. Esse problema foi resolvido ao remover os privilégios corretamente.
ID de CVE
CVE-2015-1117: Mark Mentovai do Google Inc.
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: um invasor com posição de rede privilegiada pode redirecionar o tráfego de usuários para hosts arbitrários
Descrição: os redirecionamentos de ICMP eram habilitados por padrão no OS X. Esse problema foi resolvido com a desativação de redirecionamentos de ICMP.
ID de CVE
CVE-2015-1103: Zimperium Mobile Security Labs
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: um invasor com posição de rede privilegiada pode causar uma negação de serviço
Descrição: havia uma inconsistência de estado no processamento dos cabeçalhos TCP. Esse problema foi resolvido por meio da melhoria no processamento de estado.
ID de CVE
CVE-2015-1102: Andrey Khudyakov e Maxim Zhuravlev do Kaspersky Lab
Kernel
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: um aplicativo mal-intencionado pode causar o encerramento inesperado do sistema ou ler a memória do kernel
Descrição: havia um problema de acesso de memória fora dos limites no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-1100: Maxime Villard do m00nbsd
Kernel
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: um invasor remoto pode driblar filtros de rede
Descrição: o sistema tratava alguns pacotes IPv6 de interfaces de rede remota como pacotes locais. O problema foi resolvido ao rejeitar esses pacotes.
ID de CVE
CVE-2015-1104: Stephen Roettger da Equipe de Segurança do Google
Kernel
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: um usuário local pode ser capaz de executar códigos arbitrários com privilégios de kernel
Descrição: havia um problema de memória corrompida no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-1101: lokihardt@ASRT em parceria com a Zero Day Initiative da HP
Kernel
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: um invasor remoto pode causar uma negação de serviço
Descrição: havia um problema de inconsistência de estado ao gerenciar TCP fora da faixa de dados. Esse problema foi resolvido por meio da melhoria no gerenciamento de estado.
ID de CVE
CVE-2015-1105: Kenton Varda da Sandstorm.io
LaunchServices
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: um usuário local pode ser capaz de causar falhas no Finder
Descrição: havia um problema de validação de entradas no processamento dos dados de localização de aplicativos pelo LaunchServices. Esse problema foi solucionado por meio de melhorias na validação de dados de localização.
ID de CVE
CVE-2015-1142
LaunchServices
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: um usuário local pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de confusão de tipos no processamento de cadeias de caracteres localizadas pelo IOSurface. Esse problema foi resolvido por meio de outras verificações de limites.
ID de CVE
CVE-2015-1143: Apple
libnetcore
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: processar um perfil de configuração criado com códigos mal-intencionados pode levar ao encerramento inesperado do aplicativo
Descrição: havia um problema de corrupção de memória no processamento de perfis de configuração. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang e Tao Wei de FireEye, Inc.
ntp
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: um invasor remoto pode forçar as chaves de autenticação de ntpd
Descrição: a função config_auth no ntpd gerava uma chave fraca quando não havia chaves de autenticação configuradas. Esse problema foi solucionado por meio da melhoria da geração de chaves.
ID de CVE
CVE-2014-9298
OpenLDAP
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: um cliente remoto não autenticado pode causar uma negação de serviço
Descrição: havia vários problemas de validação de entrada no OpenLDAP. Esses problemas foram solucionados por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-1545: Ryan Tandy
CVE-2015-1546: Ryan Tandy
OpenSSL
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: várias vulnerabilidades no OpenSSL
Descrição: havia várias vulnerabilidades no OpenSSL 0.9.8zc, uma delas podia permitir que um invasor interceptasse conexões com um servidor compatível com cifras de nível de exportação. Esses problemas foram resolvidos com a atualização do OpenSSL para a versão 0.9.8zd.
ID de CVE
CVE-2014-3569
CVE-2014-3570
CVE-2014-3571
CVE-2014-3572
CVE-2014-8275
CVE-2015-0204
Cliente do Open Directory
Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: uma senha pode ser enviada sem criptografia pela rede ao usar o Open Directory pelo OS X Server
Descrição: se um cliente do Open Directory estivesse vinculado a um OS X Server sem instalar os certificados do OS X Server e um usuário desse cliente alterasse sua senha, a solicitação de alteração de senha era enviada pela rede sem criptografia. O problema foi solucionado fazendo com que o cliente exigisse a criptografia para esse caso.
ID de CVE
CVE-2015-1147: Apple
PHP
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: diversas vulnerabilidades no PHP
Descrição: havia diversas vulnerabilidades nas versões do PHP anteriores a 5.3.29, 5.4.38 e 5.5.20, inclusive uma que podia levar à execução arbitrária de códigos. Esta atualização resolve os problemas atualizando o PHP para as versões 5.3.29, 5.4.38 e 5.5.20.
ID de CVE
CVE-2013-6712
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-2497
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3538
CVE-2014-3587
CVE-2014-3597
CVE-2014-3668
CVE-2014-3669
CVE-2014-3670
CVE-2014-3710
CVE-2014-3981
CVE-2014-4049
CVE-2014-4670
CVE-2014-4698
CVE-2014-5120
QuickLook
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: processar um arquivo mal-intencionado do iWork pode resultar na execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no processamento de arquivos do iWork. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-1098: Christopher Hickstein
SceneKit
Disponível para: OS X Mountain Lion 10.8.5
Impacto: visualizar um arquivo Collada mal-intencionado pode resultar na execução arbitrária de códigos
Descrição: havia um estouro de buffer de pilha no processamento de arquivos Collada pelo SceneKit. Visualizar um arquivo Collada mal-intencionado podia resultar na execução arbitrária de códigos. Esse problema foi solucionado por meio de melhorias na validação de elementos do assessor.
ID de CVE
CVE-2014-8830: Jose Duart, da Google Security Team
Compartilhamento de tela
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: a senha de um usuário pode estar com a sessão iniciada para um arquivo local
Descrição: em algumas circunstâncias, o compartilhamento de telas pode registrar a senha de um usuário, que não pode ser lida pelos outros usuários do sistema. Esse problema foi solucionado com a remoção do registro de credenciais.
ID de CVE
CVE-2015-1148: Apple
Segurança – Autenticação de Código
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: não é possível impedir que aplicativos violados sejam abertos
Descrição: aplicativos contendo pacotes desenvolvidos especialmente podiam ser iniciados sem uma assinatura completamente válida. Esse problema foi resolvido com a adição de mais verificações.
ID de CVE
CVE-2015-1145
CVE-2015-1146
UniformTypeIdentifiers
Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 e 10.10.2
Impacto: um usuário local pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um estouro de buffer em como os Identificadores de Tipo Uniforme eram processados. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-1144: Apple
WebKit
Disponível para: OS X Yosemite 10.10 a 10.10.2
Impacto: acessar um site criado com códigos mal-intencionados pode causar a execução aleatória de códigos
Descrição: havia um problema de memória corrompida no WebKit. Esse problema foi resolvido por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-1069: lokihardt@ASRT em parceria com a Zero Day Initiative da HP
A Atualização de Segurança 2015-004 (disponível para OS X Mountain Lion 10.8.5 e OS X Mavericks 10.9.5) também resolve um problema causado pela correção do CVE-2015-1067 na Atualização de Segurança 2015-002. O problema evitava que clientes de Eventos Remotos Apple de qualquer versão se conectassem ao servidor de Eventos Remotos Apple. Em configurações padrão, os Eventos Remotos Apple não estão ativados.
Nota: o OS X Yosemite 10.10.3 inclui o conteúdo de segurança do Safari 8.0.5.