Sobre a Atualização de Segurança 2014-005
Este documento descreve o conteúdo de segurança da Atualização de Segurança 2014-005.
É possível baixar e instalar essa atualização por meio da Atualização de Software ou do site do Suporte da Apple.
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Atualizações de segurança da Apple.
Atualização de Segurança 2014-005
Secure Transport
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impacto: um invasor pode conseguir descriptografar dados protegidos por SSL
Descrição: há ataques conhecidos à confidencialidade do SSL 3.0 quando um conjunto de criptografia usa uma cifra de bloco no modo CBC. Um invasor poderia forçar o uso do SSL 3.0, mesmo se o servidor suportasse uma versão melhor do TLS, bloqueando tentativas de conexão com o TLS 1.0 e superior. Esse problema foi resolvido com a desativação dos conjuntos de criptografia CBC quando as tentativas de conexão TLS falham.
CVE-ID
CVE-2014-3566 : Bodo Moeller, Thai Duong e Krzysztof Kotowicz da Google Security Team
Nota: a Atualização de Segurança 2014-005 inclui o conteúdo de segurança do OS X bash Update 1.0
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.