Sobre o conteúdo de segurança do OS X El Capitan 10.11

Este documento descreve o conteúdo de segurança do OS X El Capitan 10.11.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do Produto Apple, consulte o site sobre segurança do produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

OS X El Capitan 10.11

  • Agenda

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor local pode injetar códigos arbitrariamente em processos que estão carregando a estrutura da Agenda

    Descrição: havia um problema no processamento da estrutura da Agenda de uma variável de ambiente. Esse problema foi resolvido por meio de melhorias no processamento da variável de ambiente.

    ID de CVE

    CVE-2015-5897: Dan Bastone, da Gotham Digital Science

  • AirScan

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor com posição de rede privilegiada pode extrair carga de pacotes eSCL enviados por meio de uma conexão segura

    Descrição: havia um problema no processamento de pacotes eSCL. Esse problema foi resolvido por meio de melhorias nas verificações de validação.

    ID de CVE

    CVE-2015-5853: um pesquisador anônimo

  • apache_mod_php

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: várias vulnerabilidades no PHP

    Descrição: havia diversas vulnerabilidades nas versões do PHP anteriores à 5.5.27, inclusive uma que podia levar à execução remota de códigos. Esse problema foi resolvido por meio da atualização do PHP para a versão 5.5.27.

    ID de CVE

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Kit da Apple Online Store

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um aplicativo malicioso pode obter acesso aos itens das chaves de um usuário

    Descrição: havia um problema na validação de listas de controle de acesso para itens das chaves do iCloud. Esse problema foi resolvido por meio de melhorias na verificação das listas de controle de acesso.

    ID de CVE

    CVE-2015-5836: XiaoFeng Wang, da Universidade de Indiana, Luyi Xing, da Universidade de Indiana, Tongxin Li, da Universidade de Pequim, Tongxin Li, da Universidade de Pequim, Xiaolong Bai, da Universidade Tsinghua

  • AppleEvents

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário conectado pelo compartilhamento de tela pode enviar Eventos da Apple para a sessão de um usuário local

    Descrição: havia um problema com o filtro dos Eventos da Apple que permitia a alguns usuários enviar eventos para outros usuários. Esse problema foi resolvido por meio de melhorias no processamento dos Eventos da Apple.

    ID de CVE

    CVE-2015-5849: Jack Lawrence (@_jackhl)

  • Áudio

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: a reprodução de um arquivo de áudio malicioso pode resultar no fechamento inesperado de um aplicativo

    Descrição: havia um problema de memória corrompida no processamento de arquivos de áudio. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5862: YoungJin Yoon, do Information Security Lab. (Orientador: Prof. Taekyoung Kwon), Yonsei University, Seul, Coreia

  • bash

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: várias vulnerabilidades no bash

    Descrição: havia várias vulnerabilidades nas versões do bash anteriores à 3.2 para o nível de patch 57. Esses problemas foram resolvidos pela atualização do bash versão 3.2 para o nível de patch 57.

    ID de CVE

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Política de confiabilidade dos certificados

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: atualização para a política de confiabilidade dos certificados

    Descrição: a política de confiabilidade dos certificados foi atualizada. Veja a lista completa de certificados em http://support.apple.com/pt-br/HT202858.

  • Cookies CFNetwork

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor em uma posição de rede privilegiada pode rastrear a atividade de um usuário

    Descrição: havia um problema de cookie entre domínios no processamento de domínios de nível superior. Esse problema foi resolvido por meio de melhorias nas restrições de criação de cookies.

    ID de CVE

    CVE-2015-5885: Xiaofeng Zheng, do Blue Lotus Team, Tsinghua University

  • CFNetwork FTPProtocol

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: servidores FTP com códigos maliciosos podem fazer com que o cliente realize reconhecimento em outros hosts

    Descrição: havia um problema no processamento de pacotes de FTP ao usar o comando PASV. Esse problema foi resolvido por meio de melhorias na validação.

    ID de CVE

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um URL criado com códigos maliciosos pode ignorar o HSTS e causar vazamento de dados confidenciais

    Descrição: havia uma vulnerabilidade na análise de URL no processamento de HSTS. Esse problema foi resolvido por meio de melhorias na análise de URL.

    ID de CVE

    CVE-2015-5858: Xiaofeng Zheng, do Blue Lotus Team, Tsinghua University

  • CFNetwork HTTPProtocol

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor com posição de rede privilegiada pode interceptar o tráfego de rede

    Descrição: havia um problema no processamento de entradas de lista de pré-carregamento de HSTS no modo de navegação privada do Safari. Esse problema foi resolvido por meio de melhorias no processamento de estado.

    ID de CVE

    CVE-2015-5859: Rosario Giustolisi, da University of Luxemburgo

  • CFNetwork HTTPProtocol

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um site criado com códigos mal-intencionados pode rastrear usuários no Safari no modo de navegação privada

    Descrição: havia um problema no processamento do estado do HSTS no modo de navegação privada do Safari. Esse problema foi resolvido por meio de melhorias no processamento de estado.

    ID de CVE

    CVE-2015-5860: Sam Greenhalgh, da RadicalResearch Ltd

  • CFNetwork Proxies

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: a conexão a um proxy da web malicioso pode definir cookies maliciosos para um site

    Descrição: havia um problema no processamento de respostas de conexão de proxy. Esse problema foi resolvido removendo o cabeçalho Set-Cookie ao analisar a resposta de conexão.

    ID de CVE

    CVE-2015-5841: Xiaofeng Zheng, do Blue Lotus Team, Tsinghua University

  • CFNetwork SSL

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor com uma posição de rede privilegiada pode interceptar as conexões SSL/TLS

    Descrição: havia um problema de validação do certificado em NSURL quando um certificado era alterado. Esse problema foi resolvido por meio de melhorias na validação do certificado.

    ID de CVE

    CVE-2015-5824: Timothy J. Wood, do The Omni Group

  • CFNetwork SSL

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor pode ser capaz de decodificar dados protegidos por SSL

    Descrição: há ataques conhecidos na confidencialidade do RC4. Um invasor podia forçar o uso do RC4, mesmo que o servidor preferisse cifras melhores, ao bloquear conexões TLS 1.0 e mais altas até que o CFNetwork tentasse SSL 3.0, que permite somente RC4. Esse problema foi resolvido removendo o fallback para SSL 3.0.

  • CoreCrypto

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor pode identificar uma chave privada

    Descrição: ao observar várias tentativas de início de sessão ou de decodificação, um invasor podia definir e identificar a chave privada RSA. Esse problema foi resolvido por meio de melhorias nos algoritmos de criptografia.

  • CoreText

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no processamento de arquivos de fonte. Esse problema foi resolvido por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Dev Tools

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um aplicativo malicioso pode causar a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia um problema de corrupção de memória no dyld. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5876: beist, da grayhash

  • Dev Tools

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um aplicativo pode ignorar a assinatura de códigos

    Descrição: havia um problema na validação da assinatura de códigos de executáveis. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-5839: @PanguTeam

  • Imagens de disco

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia um problema de corrupção de memória no DiskImages. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um aplicativo pode ignorar a assinatura de códigos

    Descrição: havia um problema na validação da assinatura de códigos de executáveis. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-5839: TaiG, da equipe Jailbreak

  • EFI

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um aplicativo malicioso pode evitar a inicialização de alguns sistemas

    Descrição: havia um problema nos endereços cobertos pelo registro de intervalo protegido. Esse problema foi corrigido alterando o intervalo protegido.

    ID de CVE

    CVE-2015-5900: Xeno Kovah & Corey Kallenberg, da LegbaCore

  • EFI

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um adaptador Apple de Ethernet para Thunderbolt malicioso pode afetar o flash de firmware

    Descrição: adaptadores Apple de Ethernet para Thunderbolt podiam modificar o firmware do host se conectados durante uma atualização de EFI. Esse problema foi resolvido ao não carregar ROMs de opção durante atualizações.

    ID de CVE

    CVE-2015-5914: Trammell Hudson, da Two Sigma Investments e snare

  • Finder

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: o recurso "Esvaziamento Seguro do Lixo" pode não apagar com segurança arquivos colocados no Lixo

    Descrição: havia um problema em garantir a exclusão segura de arquivos do Lixo em alguns sistemas, como os que têm armazenamento flash. Esse problema foi resolvido removendo a opção "Esvaziamento Seguro do Lixo".

    ID de CVE

    CVE-2015-5901: Apple

  • Game Center

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um aplicativo malicioso do Game Center pode acessar o endereço de e-mail de um jogador

    Descrição: havia um problema no Game Center no processamento do e-mail de um jogador. Esse problema foi resolvido por meio de melhorias nas restrições de acesso.

    ID de CVE

    CVE-2015-5855: Nasser Alnasser

  • Heimdal

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor pode reproduzir credenciais do Kerberos para o servidor SMB

    Descrição: havia um problema de autenticação nas credenciais do Kerberos. Esse problema foi resolvido por meio da validação adicional de credenciais com uma lista de credenciais vistas recentemente.

    ID de CVE

    CVE-2015-5913: Tarun Chopra, da Microsoft Corporation, EUA, e Yu Fan, da Microsoft Corporation, China

  • ICU

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: várias vulnerabilidades no ICU

    Descrição: havia diversas vulnerabilidades nas versões do ICU anteriores à 53.1.0. Esses problemas foram resolvidos com a atualização do ICU para a versão 55.1.

    ID de CVE

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand, do Google Project Zero

  • Install Framework Legacy

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode obter privilégios raiz

    Descrição: havia um problema de restrição na estrutura privada de Instalar contendo um executável privilegiado. Esse problema foi resolvido removendo a interface.

    ID de CVE

    CVE-2015-5888: Apple

  • Driver da placa gráfica da Intel

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia vários problemas de memória corrompida na placa gráfica Intel. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5830: Yuki MIZUNO (@mzyy94)

    CVE-2015-5877: Camillus Gerard Cai

  • IOAudioFamily

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode definir o layout de memória do kernel

    Descrição: havia um problema no IOAudioFamily que causou a divulgação do conteúdo da memória do kernel. Esse problema foi resolvido com a permuta de ponteiros kernel.

    ID de CVE

    CVE-2015-5864: Luca Todesco

  • IOGraphics

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel

    Descrição: havia vários problemas de corrupção de memória no kernel. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5871: Ilja van Sprundel, da IOActive

    CVE-2015-5872: Ilja van Sprundel, da IOActive

    CVE-2015-5873: Ilja van Sprundel, da IOActive

    CVE-2015-5890: Ilja van Sprundel, da IOActive

  • IOGraphics

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um aplicativo com código malicioso pode determinar o layout de memória do kernel

    Descrição: havia um problema no IOGraphics que podia levar à divulgação do layout de memória do kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5865: Luca Todesco

  • IOHIDFamily

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um aplicativo malicioso pode causar a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia vários problemas de corrupção de memória no IOHIDFamily. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5866: Apple

    CVE-2015-5867: moony li, da Trend Micro

  • IOStorageFamily

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor local pode ler a memória do kernel

    Descrição: havia um problema de inicialização da memória no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5863: Ilja van Sprundel, da IOActive

  • Kernel

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel

    Descrição: havia vários problemas de corrupção de memória no kernel. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5868: Cererdlong, da equipe da Alibaba Mobile Security

    CVE-2015-5896: Maxime Villard, da m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um processo local pode modificar outros processos sem verificações de direitos

    Descrição: havia um problema em que processos principais usando o API processor_set_tasks tinham permissão de recuperar as portas de tarefa de outros processos. Este problema foi resolvido por meio de verificações adicionais de direitos.

    ID de CVE

    CVE-2015-5882: Pedro Vilaça, trabalhando em pesquisa original de Ming-chieh Pan e Sung-ting Tsai; Jonathan Levin

  • Kernel

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor local pode controlar o valor de cookies na pilha

    Descrição: havia vários pontos fracos da geração de cookies na pilha do espaço do usuário. Esses problemas foram resolvidos por meio de melhorias na geração de cookies na pilha.

    ID de CVE

    CVE-2013-3951: Stefan Esser

  • Kernel

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor pode lançar ataques de negação de serviço em conexões TCP direcionadas sem saber o número de sequência correta

    Descrição: havia um problema na validação de xnu de cabeçalhos de pacotes TCP. Esse problema foi resolvido por meio de melhorias na validação de cabeçalhos de pacotes TCP.

    ID de CVE

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor em um segmento de LAN local pode desativar o IPv6 que está sendo executado

    Descrição: havia um problema de validação insuficiente no processamento de anúncios do roteador IPv6 que permitia a um invasor definir o limite de saltos para um valor arbitrário. Esse problema foi resolvido aplicando um limite mínimo de saltos.

    ID de CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode definir o layout de memória do kernel

    Descrição: havia um problema que causou a divulgação do layout de memória do kernel. Esse problema foi resolvido por meio de melhorias na inicialização de estruturas da memória do kernel.

    ID de CVE

    CVE-2015-5842: beist, da grayhash

  • Kernel

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode definir o layout de memória do kernel

    Descrição: havia um problema nas interfaces de depuração que causava a divulgação do conteúdo da memória. Esse problema foi resolvido limpando a saída das interfaces de depuração.

    ID de CVE

    CVE-2015-5870: Apple

  • Kernel

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode causar uma negação de serviço do sistema

    Descrição: havia um problema de processamento de estado na funcionalidade de depuração. Esse problema foi resolvido por meio de melhorias na validação.

    ID de CVE

    CVE-2015-5902: Sergi Alvarez (pancake), da NowSecure Research Team

  • libc

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor remoto pode executar códigos arbitrários

    Descrição: havia um problema de corrupção de memória na função fflush. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2014-8611: Adrian Chadd e Alfred Perlstein, da Norse Corporation

  • libpthread

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel

    Descrição: havia um problema de memória corrompida no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5899: Lufeng Li, da Qihoo 360 Vulcan Team

  • libxpc

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: várias conexões SSH podiam causar uma negação de serviço

    Descrição: o launchd não tinha limite sobre o número de processos que podiam ser iniciados por uma conexão de rede. Esse problema foi resolvido limitando o número de processos SSH em 40.

    ID de CVE

    CVE-2015-5881: Apple

  • Janela de Início de Sessão

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: o protetor de tela pode não entrar depois do período de tempo especificado

    Descrição: havia um problema com o bloqueio da tela capturada. Esse problema foi solucionado por meio de melhorias no processamento do bloqueio.

    ID de CVE

    CVE-2015-5833: Carlos Moreira, Rainer Dorau, da rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera e Jon Hall, da Asynchrony

  • lukemftpd

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor remoto pode negar serviço para o servidor FTP

    Descrição: havia um problema no processamento do glob no tnftpd. Esse problema foi resolvido por meio de melhorias na validação do glob.

    ID de CVE

    CVE-2015-5917: Maksymilian Arciemowicz, da cxsecurity.com

  • Mail

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: a impressão de um e-mail pode causar vazamento de dados confidenciais do usuário

    Descrição: havia um problema no Mail que ignorava as preferências do usuário ao imprimir um e-mail. Esse problema foi resolvido por meio de melhorias na aplicação das preferências do usuário.

    ID de CVE

    CVE-2015-5881: Owen DeLong, da Akamai Technologies, Noritaka Kamiya, Dennis Klein de Eschenburg, Alemanha, Jeff Hammett, da Systim Technology Partners

  • Mail

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor em uma posição de rede privilegiada pode interceptar anexos de e-mails com criptografia S/MIME enviados pelo Mail Drop

    Descrição: havia um problema no processamento de parâmetros de criptografia para anexos grandes de e-mail enviados pelo Mail Drop. Esse problema foi resolvido removendo a opção do Mail Drop ao enviar um e-mail criptografado.

    ID de CVE

    CVE-2015-5884: John McCombs, da Integrated Mapping Ltd

  • Multipeer Connectivity

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor local pode observar dados de multipeer não protegidos

    Descrição: havia um problema no processamento do inicializador de conveniência no qual era possível fazer ativamente o downgrade da criptografia para uma sessão não criptografada. Esse problema foi resolvido ao alterar o inicializador de conveniência para exigir criptografia.

    ID de CVE

    CVE-2015-5851: Alban Diquet (@nabla_c0d3), da Data Theorem

  • NetworkExtension

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um aplicativo com código malicioso pode determinar o layout de memória do kernel

    Descrição: um problema de memória não inicializada no kernel levou à divulgação de conteúdo da memória do Kernel. Esse problema foi resolvido por meio de melhorias na inicialização da memória.

    ID de CVE

    CVE-2015-5831: Maxime VILLARD, do m00nbsd

  • Notas

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode causar vazamento de dados confidenciais de usuários

    Descrição: havia um problema nos links de análise do aplicativo Notas. Esse problema foi resolvido por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-5878: Craig Young, da Tripwire VERT, e um pesquisador anônimo

  • Notas

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode causar vazamento de dados confidenciais de usuários

    Descrição: havia um problema de uso de script entre sites ao analisar texto pelo aplicativo Notas. Esse problema foi resolvido por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-5875: xisigr, da Tencent's Xuanwu LAB (www.tencent.com)

  • OpenSSH

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: várias vulnerabilidades no OpenSSH

    Descrição: havia diversas vulnerabilidades nas versões do OpenSSH anteriores à 6.9 que foram resolvidas com a atualização do OpenSSH para a versão 6.9.

    ID de CVE

    CVE-2014-2532

  • OpenSSL

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: várias vulnerabilidades no OpenSSL

    Descrição: havia várias vulnerabilidades em versões do OpenSSL anteriores à 0.9.8zg. Esses problemas foram resolvidos com a atualização do OpenSSL para a versão 0.9.8zg.

    ID de CVE

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: várias vulnerabilidades no procmail

    Descrição: havia várias vulnerabilidades em versões do procmail anteriores à 3.22 que foram resolvidas por meio da remoção do procmail.

    ID de CVE

    CVE-2014-3618

  • remote_cmds

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios raiz

    Descrição: havia um problema no uso de variáveis de ambiente pelo binário rsh. Esse problema foi resolvido por meio da liberação de privilégios do setuid do binário rsh.

    ID de CVE

    CVE-2015-5889: Philip Pettersson

  • removefile

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: o processamento de dados maliciosos pode levar ao encerramento inesperado de aplicativos

    Descrição: havia uma falha de excesso nas rotinas de divisão do checkint. Esse problema foi resolvido com melhorias nas rotinas de divisão.

    ID de CVE

    CVE-2015-5840: pesquisador anônimo

  • Rubi

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: várias vulnerabilidades no Ruby

    Descrição: havia diversas vulnerabilidades em versões do Ruby anteriores à 2.0.0p645. Elas foram solucionadas com a atualização do Ruby para a versão 2.0.0p645.

    ID de CVE

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • Segurança

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: o estado bloqueado das chaves pode ser exibido incorretamente para o usuário

    Descrição: havia um problema no processamento de estado na forma como o status de bloqueio das chaves era rastreado. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

    ID de CVE

    CVE-2015-5915: Peter Walz, da Universidade de Minnesota, David Ephron, Eric E. Lawrence, Apple

  • Segurança

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: uma avaliação de confiança configurada para exigir a verificação da revogação pode obter sucesso mesmo em caso de falha na verificação da revogação

    Descrição: a sinalização kSecRevocationRequirePositiveResponse era especificada, mas não implementada. Esse problema foi resolvido ao implementar a sinalização.

    ID de CVE

    CVE-2015-5894: Hannes Oud, da kWallet GmbH

  • Segurança

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um servidor remoto pode solicitar um certificado antes de se identificar

    Descrição: o transporte seguro aceitava a mensagem CertificateRequest antes da mensagem ServerKeyExchange. Esse problema foi solucionado com a exigência de ServerKeyExchange primeiro.

    ID de CVE

    CVE-2015-5887: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti e Jean Karim Zinzindohoue, da INRIA Paris-Rocquencourt, Cedric Fournet e Markulf Kohlweiss, da Microsoft Research, e Pierre-Yves Strub, do IMDEA Software Institute

  • SMB

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel

    Descrição: havia um problema de memória corrompida no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5891: Ilja van Sprundel, da IOActive

  • SMB

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um usuário local pode definir o layout de memória do kernel

    Descrição: havia um problema no SMBClient que causou a divulgação do conteúdo da memória do kernel. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-5893: Ilja van Sprundel, da IOActive

  • SQLite

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: diversas vulnerabilidades no SQLite versão 3.8.5

    Descrição: havia diversas vulnerabilidades no SQLite versão 3.8.5. Esses problemas foram resolvidos com a atualização para a versão 3.8.10.2 do SQLite.

    ID de CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Telefonia

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor local pode fazer ligações sem o conhecimento do usuário ao usar o recurso Continuidade

    Descrição: havia um problema nas verificações de autorização para fazer ligações. Esse problema foi resolvido por meio de melhorias nas verificações de autorização.

    ID de CVE

    CVE-2015-3785: Dan Bastone, da Gotham Digital Science

  • Terminal

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um texto criado com códigos maliciosos poderia enganar o usuário no Terminal

    Descrição: o Terminal não processava caracteres de substituição bidirecional ao exibir texto da mesma forma que ao selecionar texto. Esse problema foi resolvido suprimindo caracteres de substituição bidirecional no Terminal.

    ID de CVE

    CVE-2015-5883: Lukas Schauer (@lukas2511)

  • tidy

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia vários problemas de memória corrompida no tidy. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5522: Fernando Muñoz, do NULLGroup.com

    CVE-2015-5523: Fernando Muñoz, do NULLGroup.com

  • Time Machine

    Disponível para: Mac OS X 10.6.8 ou posterior

    Impacto: um invasor local pode obter acesso a itens das chaves

    Descrição: havia um problema nos backups pela estrutura do Time Machine. Esse problema foi resolvido por meio de melhorias na cobertura de backups do Time Machine.

    ID de CVE

    CVE-2015-5854: Jonas Magazinius, da Assured AB

Nota: o OS X El Capitan 10.11 inclui o conteúdo de segurança do Safari 9.

 

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: