Acerca da Atualização de segurança 2015-002
Este documento descreve os conteúdos de segurança da Atualização de segurança 2015-002.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.
Para obter mais informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple".
Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras Atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
Atualização de segurança 2015-002
IOAcceleratorFamily
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10.2
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema off-by-one no IOAcceleratorFamily. Este problema foi resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2015-1066: Ian Beer do Google Project Zero
IOSurface
Disponível para: OS X Mountain Lion v10.8.5 e OS X Mavericks v10.9.5
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de confusão de tipos no processamento de objetos em série por parte do IOSurface. Este problema foi resolvido através da verificação adicional dos tipos.
ID CVE
CVE-2015-1061: Ian Beer do Google Project Zero
Kernel
Disponível para: OS X Yosemite v10.10.2
Impacto: aplicações comprometidas ou criadas com intuito malicioso poderão ser capazes de determinar endereços no kernel
Descrição: a interface do kernel mach_port_kobject revelava endereços do kernel e um valor de permuta na área dinâmica para dados, que podiam ajudar a ignorar a proteção de aleatoriedade de esquema de espaços de endereços. Este problema foi resolvido através da desativação da interface mach_port_kobject em configurações de produção.
ID CVE
CVE-2014-4496: TaiG Jailbreak Team
Transporte seguro
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10.2
Impacto: um atacante com uma posição privilegiada na rede poderá intercetar ligações SSL/TLS
Descrição: o Transporte seguro aceitava chaves RSA curtas e efémeras, normalmente utilizadas apenas para conjuntos de cifras RSA com força de exportação, em ligações de conjuntos de cifras RSA com força total. Este problema, também conhecido como FREAK, afetava apenas ligações a servidores que suportavam conjuntos de cifras RSA com força de exportação e foi resolvido através da remoção de suporte a chaves RSA efémeras.
ID CVE
CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti e Jean Karim Zinzindohoue da Prosecco na Inria Paris
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.