Sobre o conteúdo de segurança do OS X Yosemite 10.10.5 e Atualização de Segurança 2015-006

Este documento descreve o conteúdo de segurança do OS X Yosemite 10.10.5 e Atualização de Segurança 2015-006.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.

Para obter mais informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte Atualizações de Segurança da Apple.

OS X Yosemite 10.10.5 e Atualização de Segurança 2015-006

  • apache

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: havia diversas vulnerabilidades no Apache 2.4.16, sendo a mais grave a que permitia que um invasor externo causasse uma negação de serviço.

    Descrição: havia diversas vulnerabilidades nas versões do Apache anteriores à 2.4.16 que foram solucionadas com a atualização para a versão 2.4.16.

    ID de CVE

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: havia diversas vulnerabilidades no PHP 5.5.20, sendo que a mais grave delas podia levar à execução arbitrária de códigos.

    Descrição: havia diversas vulnerabilidades nas versões do PHP anteriores à 5.5.20 que foram solucionadas com a atualização do Apache para a versão 5.5.27.

    ID de CVE

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Plug-in OD do ID Apple

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um aplicativo malicioso pode alterar a senha de um usuário local

    Descrição: em algumas circunstâncias, havia um problema de gerenciamento de estado na autenticação de senha. O problema foi resolvido por meio de melhorias no gerenciamento de estado.

    ID de CVE

    CVE-2015-3799 : um pesquisador anônimo que trabalha na Zero Day Initiative da HP

  • AppleGraphicsControl

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel

    Descrição: havia um problema no AppleGraphicsControl que podia levar à divulgação do layout de memória do kernel. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-5768: JieTao Yang, da KeenTeam

  • Bluetooth

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema

    Descrição: havia um problema de memória corrompida no IOBluetoothHCIController. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-3779: Teddy Reed, da Facebook Security

  • Bluetooth

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel

    Descrição: um problema de gerenciamento de memória pode levar à divulgação do layout de memória do kernel. Esse problema foi solucionado com melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-3780: Roberto Paleari e Aristide Fattori, da Emaze Networks

  • Bluetooth

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um app malicioso pode acessar as notificações de outros dispositivos iCloud

    Descrição: havia um problema em que um app malicioso podia acessar as notificações da Central de Notificações de um Mac ou dispositivo iOS emparelhado por Bluetooth com outro dispositivo por meio do serviço da Central de Notificações da Apple. O problema afetou dispositivos que usavam o Handoff e estavam conectados na mesma conta do iCloud. Esse problema foi resolvido ao revogar o acesso ao Apple Notification Center Service.

    ID de CVE

    CVE-2015-3786: Xiaolong Bai (Universidade Tsinghua), System Security Lab (Universidade de Indiana), Tongxin Li (Universidade de Beijing), XiaoFeng Wang (Universidade de Indiana)

  • Bluetooth

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um invasor com posição de rede privilegiada pode executar ataque de negação de serviço usando pacotes Bluetooth inválidos

    Descrição: havia um problema de validação de entrada na análise de pacotes ACL Bluetooth. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-3787: Trend Micro

  • Bluetooth

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um invasor externo pode encerrar aplicativos inesperadamente ou executar códigos arbitrariamente

    Descrição: havia vários problemas de estouros de buffer no processamento do blued de mensagens XPC. Esses problemas foram solucionados através de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-3777: mitp0sh, do [PDX]

  • bootp

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: uma rede Wi-Fi maliciosa pode descobrir redes que um dispositivo acessou anteriormente

    Descrição: ao se conectar a uma rede Wi-Fi, o iOS pode ter transmitido endereços MAC de redes anteriormente acessados por meio do protocolo DNAv4. Esse problema foi solucionado por meio da desativação do DNAv4 em redes Wi-Fi não criptografadas.

    ID de CVE

    CVE-2015-3778: Piers O'Hanlon, da Oxford Internet Institute, Universidade de Oxford (no projeto EPSRC Being There)

  • CloudKit

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um aplicativo malicioso pode acessar o registro de usuário do iCloud de um usuário conectado anteriormente

    Descrição: havia uma inconsistência de estado no CloudKit desconectar usuários. Esse problema foi resolvido por meio da melhoria do processamento de estado.

    ID de CVE

    CVE-2015-3782: Deepkanwal Plaha, da Universidade de Toronto

  • CoreMedia Playback

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia problemas de memória corrompida no CoreMedia Playback. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-5761: John Villamil (@day6reak), equipe Yahoo Pentest

  • CoreText

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-5755: John Villamil (@day6reak), equipe Yahoo Pentest

  • curl

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: havia diversas vulnerabilidades no cURL e libcurl antes da versão 7.38.0 que podiam permitir que invasores externos ignorassem a política de mesma origem.

    Descrição: havia diversas vulnerabilidades no cURL e libcurl antes da versão 7.38.0 que foram solucionadas com a atualização para a versão 7.43.0.

    ID de CVE

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Mecanismo Detectores de Dados

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de uma sequência de caracteres unicode pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: problemas de memória corrompida ocorriam no processamento de caracteres Unicode. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2015-5750: M1x7e1, da equipe Safeye (www.safeye.org)

  • painel de preferência Data e Hora

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: aplicativos que se baseiam na hora do sistema podem ter um comportamento inesperado

    Descrição: havia um problema de autorização ao modificar as preferências de data e hora do sistema. Esse problema foi solucionado com verificações de autorização adicionais.

    ID de CVE

    CVE-2015-3757: Mark S C Smith

  • Aplicativo Dicionário

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um invasor com uma posição de rede privilegiada pode interceptar consultas de usuários do app Dicionário

    Descrição: havia um problema no app Dicionário que não protegia corretamente as comunicações de usuário. Esse problema foi resolvido movendo as consultas do Dicionário para HTTPS.

    ID de CVE

    CVE-2015-3774: Jeffrey Paul, da EEQJ, Jan Bee, da Equipe do Google Security

  • DiskImages

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de um arquivo DMG criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia um problema de memória corrompida na análise de imagens DMG inválidas. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-3800: Frank Graziano, da equipe Yahoo Pentest 

  • dyld

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema

    Descrição: havia um problema de validação de caminho do dyld. Isso foi solucionado por meio de melhorias limpeza do ambiente.

    ID de CVE

    CVE-2015-3760: beist de grayhash, Stefan Esser

  • FontParser

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-3804: Apple

    CVE-2015-5775: Apple

  • FontParser

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-5756: John Villamil (@day6reak), equipe Yahoo Pentest

  • groff

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: vários problemas no pdfroff

    Descrição: havia vários problemas no pdfroff, sendo que o mais grave deles permitia a modificação arbitrária do sistema de arquivos. Esses problemas foram solucionados por meio da remoção do pdfroff.

    ID de CVE

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de imagens TIFF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-5758: Apple

  • ImageIO

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: acessar um site criado com códigos maliciosos pode resultar na divulgação da memória do processo

    Descrição: havia um problema de acesso à memória não inicializada durante o processamento de imagens PNG e TIFF pelo ImageIO. Acessar um site malicioso pode resultar no envio de dados da memória do processo para o site. Esse problema foi solucionado por meio de melhorias na inicialização de memória e validação adicional de imagens PNG e TIFF.

    ID de CVE

    CVE-2015-5781: Michal Zalewski

    CVE-2015-5782: Michal Zalewski

  • Install Framework antigo

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um aplicativo malicioso pode conseguir executar códigos arbitrariamente com privilégios de raiz

    Descrição: havia um problema no modo como o "executor" do Install.framework reduzia privilégios. Esse problema foi resolvido por meio de melhorias no gerenciamento de privilégios.

    ID de CVE

    CVE-2015-5784: Ian Beer, do Google Project Zero

  • Install Framework antigo

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um aplicativo malicioso pode executar códigos arbitrariamente com privilégios de sistema

    Descrição: havia um problema de condição de corrida no binário de execução do Install.framework que resultava na redução incorreta de privilégios. Esse problema foi solucionado por meio da melhoria do bloqueio de objetos.

    ID de CVE

    CVE-2015-5754: Ian Beer, do Google Project Zero

  • IOFireWireFamily

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema

    Descrição: problemas de memória corrompida ocorriam no IOFireWireFamily. Esses problemas foram solucionados por meio de validação adicional de entrada.

    ID de CVE

    CVE-2015-3769: Ilja van Sprundel

    CVE-2015-3771: Ilja van Sprundel

    CVE-2015-3772: Ilja van Sprundel

  • IOGraphics

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um aplicativo malicioso pode executar códigos arbitrariamente com privilégios de sistema

    Descrição: havia um problema de memória corrompida no IOGraphics. Esse problema foi solucionado por meio de validação adicional de entrada.

    ID de CVE

    CVE-2015-3770: Ilja van Sprundel

    CVE-2015-5783: Ilja van Sprundel

  • IOHIDFamily

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema

    Descrição: havia um estouro de buffer em IOHIDFamily. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5774: equipe TaiG Jailbreak

  • Kernel

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel

    Descrição: havia um problema na interface mach_port_space_info, o que podia levar à divulgação do layout de memória do kernel. Isso foi solucionado com a desativação da interface mach_port_space_info.

    ID de CVE

    CVE-2015-3766: Cererdlong, da equipe da Alibaba Mobile Security, @PanguTeam

  • Kernel

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um aplicativo malicioso pode executar códigos arbitrariamente com privilégios de sistema

    Descrição: ocorre uma sobrecarga de inteiros durante o processamento das funções de IOKit. Esse problema foi solucionado pela validação aprimorada de argumentos da API IOKit.

    ID de CVE

    CVE-2015-3768: Ilja van Sprundel

  • Kernel

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um usuário local pode causar uma negação de serviço do sistema

    Descrição: havia um problema de esgotamento de recursos no driver fasttrap. Esse problema foi solucionado por meio de melhorias no gerenciamento de memória.

    ID de CVE

    CVE-2015-5747: Maxime VILLARD, do m00nbsd

  • Kernel

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um usuário local pode causar uma negação de serviço do sistema

    Descrição: havia um problema de validação durante a montagem dos volumes HFS. Isso foi solucionado por meio de verificações adicionais.

    ID de CVE

    CVE-2015-5748: Maxime VILLARD, do m00nbsd

  • Kernel

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um aplicativo malicioso pode conseguir executar código não assinado

    Descrição: havia um problema que permitia a um código não assinado ser adicionado à assinatura de código em um arquivo executável especialmente criado. Esse problema foi resolvido por meio da melhoria da validação da assinatura do código.

    ID de CVE

    CVE-2015-3806: equipe TaiG Jailbreak

  • Kernel

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um arquivo executável especialmente criado pode permitir que códigos maliciosos e não assinados sejam executado

    Descrição: havia um problema no modo como arquivos executáveis multiarquitetura eram avaliados, o que poderia ter permitido a execução de código não assinado. Esse problema foi solucionado por meio de melhorias na validação de arquivos executáveis.

    ID de CVE

    CVE-2015-3803: equipe TaiG Jailbreak

  • Kernel

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um usuário local pode executar código não assinado

    Descrição: havia um problema de validação no processamento de arquivos Mach-O. Isso foi solucionado por meio de verificações adicionais.

    ID de CVE

    CVE-2015-3802: equipe TaiG Jailbreak

    CVE-2015-3805: equipe TaiG Jailbreak

  • Kernel

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: analisar um plist criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia um corrompimento de memória no processamento de plists inválidos. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-3776: Teddy Reed, do Facebook Security, Patrick Stein (@jollyjinx), da Jinx Germany

  • Kernel

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema

    Descrição: havia um problema de validação de caminho. Isso foi solucionado por meio de melhorias limpeza do ambiente.

    ID de CVE

    CVE-2015-3761: Apple

  • Libc

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de um arquivo de expressão regular criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia problemas de memória corrompida na biblioteca TRE. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2015-3796: Ian Beer, do Google Project Zero

    CVE-2015-3797: Ian Beer, do Google Project Zero

    CVE-2015-3798: Ian Beer, do Google Project Zero

  • Libinfo

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: um invasor externo pode conseguir encerrar aplicativos inesperadamente ou executar códigos arbitrariamente

    Descrição: havia problemas de memória corrompida no processamento de soquetes AF_INET6. Eles foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2015-5776: Apple

  • libpthread

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um aplicativo malicioso pode executar códigos arbitrariamente com privilégios de sistema

    Descrição: havia um problema de memória corrompida no processamento de syscalls. Esse problema foi solucionado por meio da melhoria da verificação de estado bloqueado.

    ID de CVE

    CVE-2015-5757: Lufeng Li, do Qihoo 360

  • libxml2

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: havia diversas vulnerabilidades em versões do libxml2 anteriores à 2.9.2, sendo a mais grave a que podia permitir que um invasor externo causasse uma negação de serviço

    Descrição: havia diversas vulnerabilidades em versões do libxml2 anteriores à 2.9.2 que foram solucionadas com a atualização para a versão 2.9.2 do libxml2.

    ID de CVE

    CVE-2012-6685: Felix Groebert, do Google

    CVE-2014-0191: Felix Groebert, do Google

  • libxml2

    Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: a análise de um documento XML criado com códigos maliciosos pode levar à divulgação de informações do usuário

    Descrição: havia um problema de acesso de memória no libxml2. Isso foi solucionado por meio de melhorias no processamento de memória

    ID de CVE

    CVE-2014-3660: Felix Groebert, do Google

  • libxml2

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: a análise de um documento XML criado com códigos maliciosos pode levar à divulgação de informações do usuário

    Descrição: havia um problema de memória corrompida na análise de arquivos XML. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-3807: Apple

  • libxpc

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um aplicativo malicioso pode executar códigos arbitrariamente com privilégios de sistema

    Descrição: havia um problema de memória corrompida no processamento de mensagens XPC inválidas. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-3795: Mathew Rowley

  • mail_cmds

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um usuário local pode conseguir executar comandos do shell arbitrariamente

    Descrição: havia um problema de validação na análise mailx de endereços de e-mail. Isso foi solucionado por meio da melhorias na sanitização.

    ID de CVE

    CVE-2014-7844

  • Central de Notificações do OS X

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um aplicativo malicioso pode acessar todas as notificações anteriormente exibidas para os usuários

    Descrição: havia um problema na Central de Notificações que não apagava corretamente as notificações do usuário. Esse problema foi solucionado pelo apagamento correto das notificações descartadas pelos usuários.

    ID de CVE

    CVE-2015-3764: Jonathan Zdziarski

  • ntfs

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema

    Descrição: havia um problema de memória corrompida em NTFS. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5763: Roberto Paleari e Aristide Fattori, da Emaze Networks

  • OpenSSH

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: invasores externos podem contornar um tempo de espera de tentativas frustradas de início de sessão e realizar ataques de força bruta

    Descrição: havia um problema ao processar dispositivos que interagem com teclados. Esse problema foi solucionado por meio de melhorias na validação de solicitação de autenticação.

    ID de CVE

    CVE-2015-5600

  • OpenSSL

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: havia várias vulnerabilidades em versões do OpenSSL anteriores à 0.9.8zg, sendo a mais grave a que podia permitir que um invasor externo causasse uma negação de serviço.

    Descrição: havia várias vulnerabilidades em versões do OpenSSL anteriores à 0.9.8zg. Elas foram solucionadas com a atualização do OpenSSL para a versão 0.9.8zg.

    ID de CVE

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de uma expressão regular criada com códigos maliciosos pode levar à divulgação de encerramentos inesperados de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um problema de estouro de inteiro no modo como o Perl analisava expressões regulares. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2013-7422

  • PostgreSQL

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: um invasor pode causar o encerramento inesperado de aplicativos ou acessar os dados sem autenticação apropriada

    Descrição: havia vários problemas no PostgreSQL 9.2.4 que foram solucionados com a atualização para a versão 9.2.13.

    ID de CVE

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: havia diversas vulnerabilidades no Python 2.7.6, sendo que a mais grave delas podia causar a execução arbitrária de códigos

    Descrição: havia diversas vulnerabilidades em versões do Python anteriores à 2.7.6 que foram solucionadas com a atualização para a versão 2.7.10.

    ID de CVE

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de um documento do Microsoft Office criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida na análise de documentos do Office. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5773: Apple

  • QL Office

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode levar à divulgação de informações do usuário

    Descrição: havia um problema de referência à Entidade Externa na análise do arquivo XML. Esse problema foi solucionado por meio de melhorias no processamento.

    ID de CVE

    CVE-2015-3784: Bruno Morisson, da INTEGRITY S.A.

  • Estrutura Quartz Composer

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de um arquivo do QuickTime criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida na análise de arquivos QuickTime. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5771: Apple

  • Visualização Rápida

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: a busca por site visto anteriormente pode iniciar o navegador da web e renderizar esse site

    Descrição: havia um problema no qual o QuickLook tem a capacidade de executar o JavaScript. O problema foi solucionado desativando a execução do JavaScript.

    ID de CVE

    CVE-2015-3781: Andrew Pouliot, do Facebook, Anto Loyola, da Qubole

  • QuickTime 7

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de um arquivo criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia vários problemas de memória corrompida no QuickTime. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753: Apple

    CVE-2015-5779: Apple

  • QuickTime 7

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de um arquivo criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia vários problemas de memória corrompida no QuickTime. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2015-3765: Joe Burnett, da Audio Poison

    CVE-2015-3788: Ryan Pentney and Richard Johnson, da Cisco Talos

    CVE-2015-3789: Ryan Pentney e Richard Johnson, da Cisco Talos

    CVE-2015-3790: Ryan Pentney e Richard Johnson, da Cisco Talos

    CVE-2015-3791: Ryan Pentney e Richard Johnson, da Cisco Talos

    CVE-2015-3792: Ryan Pentney e Richard Johnson, da Cisco Talos

    CVE-2015-5751: WalkerFuz

  • SceneKit

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: visualizar um arquivo Collada malicioso pode resultar na execução arbitrária de códigos

    Descrição: havia um estouro de buffer de pilha no processamento de arquivos Collada pelo SceneKit. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-5772: Apple

  • SceneKit

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.4

    Impacto: um invasor externo pode conseguir encerrar aplicativos inesperadamente ou executar códigos arbitrariamente

    Descrição: havia um problema de memória corrompida no SceneKit. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-3783: Haris Andrianakis, da equipe do Google Security

  • Segurança

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um usuário padrão pode obter acesso a privilégios de administrador sem a autenticação correta

    Descrição: havia um problema no processamento de autenticação do usuário. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-3775: [Eldon Ahrold]

  • SMBClient

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: um invasor externo pode conseguir encerrar aplicativos inesperadamente ou executar códigos arbitrariamente

    Descrição: havia um problema de memória corrompida no cliente SMB. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-3773: Ilja van Sprundel

  • Interface de fala

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: a análise de uma sequência de caracteres unicode criada com códigos maliciosos e que tem alertas para fala ativados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de sequência de caracteres Unicode. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-3794: Adam Greenbaum, da Refinitive

  • sudo

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: havia diversas vulnerabilidades em versões do sudo anteriores à 1.7.10p9, sendo a mais grave a que podia permitir que um invasor tivesse acesso a arquivos arbitrários

    Descrição: havia diversas vulnerabilidades em versões do sudo anteriores à 1.7.10p9. Elas foram solucionadas com a atualização para a versão 1.7.10p9.

    ID de CVE

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: havia diversas vulnerabilidades no tcpdump 4.7.3, sendo a mais grave a que podia permitir que um invasor externo causasse uma negação de serviço.

    Descrição: havia diversas vulnerabilidades em versões do tcpdump anteriores à 4.7.3 que foram solucionadas com a atualização para a versão 4.7.3.

    ID de CVE

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • Formatos de texto

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: a análise de um arquivo de texto criado com códigos maliciosos pode levar à divulgação de informações do usuário

    Descrição: havia um problema de referência à Entidade Externa XML na análise do Editor de Texto. Esse problema foi solucionado por meio de melhorias no processamento.

    ID de CVE

    CVE-2015-3762: Xiaoyong Wu, da equipe Evernote Security

  • udf

    Disponível para: OS X Yosemite 10.10 a 10.10.4

    Impacto: o processamento de um arquivo DMG criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia um problema de memória corrompida na análise de imagens DMG inválidas. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-3767: beist, da grayhash

O OS X Yosemite 10.10.5 inclui o conteúdo de segurança do Safari 8.0.8.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: