Acerca dos conteúdos de segurança do OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 e da Atualização de segurança 2012-004

Saiba mais sobre os conteúdos de segurança do OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 e da Atualização de segurança 2012-004.

Este documento descreve os conteúdos de segurança do OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 e da Atualização de segurança 2012-004.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a Segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple."

Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras Actualizações de segurança, consulte o artigo "Actualizações de segurança da Apple".

OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 e Atualização de segurança 2012-004

Nota: o OS X Mountain Lion v10.8.2 inclui os conteúdos do Safari 6.0.1. Para obter mais detalhes, consulte o artigo Acerca dos conteúdos de segurança do Safari 6.0.1.

  • Apache

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: várias vulnerabilidades no Apache

    Descrição: o Apache é atualizado para a versão 2.2.22 para resolver várias vulnerabilidades, a mais grave das quais poderá levar a uma recusa de serviço. Estão disponíveis mais informações no site do Apache, em http://httpd.apache.org/. Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Disponível para: OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: um atacante remoto poderá provocar uma negação de serviço em sistemas configurados para executar o BIND como um nome de servidor DNS

    Descrição: ocorreu um problema de afirmação acessível no processamento de registos DNS. Este problema foi resolvido com a atualização para o BIND 9.7.6-P1. Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-4313

  • BIND

    Disponível para: OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 até v10.7.4, OS X Mountain Lion v10.8 e v10.8.1

    Impacto: um atacante remoto poderá provocar uma negação de serviço, a corrupção de dados ou obter informações confidenciais a partir da memória de processamento em sistemas configurados para executar o BIND como um nome de servidor DNS

    Descrição: ocorreu um problema de gestão da memória no processamento de registos de DNS. Este problema foi resolvido com a atualização para o BIND 9.7.6-P1 em sistemas OS X Lion e para o BIND 9.8.3-P1 em sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-1667

  • CoreText

    Disponível para: OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: as aplicações que utilizam CoreText poderão estar vulneráveis ao encerramento inesperado da aplicação ou à execução de código arbitrário

    Descrição: ocorreu um problema de verificação de limites no processamento de imagens de texto, o que poderá levar a leituras ou escritas da memória fora dos limites. Este problema foi resolvido através de uma melhor verificação dos limites. Este problema não afeta o Mac OS X v10.6 ou os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-3716: Jesse Ruderman da Mozilla Corporation

  • Segurança de dados

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4, OS X Mountain Lion v10.8 e v10.8.1

    Impacto: um atacante com uma posição privilegiada na rede poderá intercetar credenciais de utilizador ou outras informações sensíveis

    Descrição: o TrustWave, uma raiz CA fiável, emitiu e subsequentemente revogou um certificado sub-CA de uma das suas âncoras fiáveis. Este sub-CA facilitou a interceção de comunicações protegidas pela Transport Layer Security (TLS – Segurança da camada de transporte). Esta atualização adiciona o certificado sub-CA em questão à lista de certificados não fidedignos do OS X.

  • Serviço de directório

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: se o Proxy do Serviço de directório for utilizado, um atacante remoto poderá provocar uma recusa de serviço ou a execução de código arbitrário

    Descrição: ocorreu uma ultrapassagem do limite máximo de memória intermédia no Proxy do Serviço de directório. Este problema foi resolvido através de uma melhor verificação dos limites. Este problema não afeta os sistemas OS X Lion e Mountain Lion.

    ID CVE

    CVE-2012-0650: aazubel em colaboração com o programa Zero Day Initiative da HP

  • ImageIO

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: visualizar uma imagem PNG criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: ocorreram vários problemas de danos na memória no processamento de imagens PNG por parte do libpng. Estes problemas foram resolvidos através de uma validação melhorada de imagens PNG. Estes problemas não afetam os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: a visualização de uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: ocorreu um problema de ultrapassagem do limite máximo de números inteiros no processamento de imagens TIFF por parte do libTIFF. Este problema foi resolvido através de uma melhor validação de imagens TIFF. Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-1173: Alexander Gavrun em colaboração com o programa Zero Day Initiative da HP

  • Instalador

    Disponível para: OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: administradores remotos e pessoas com acesso físico ao sistema poderão obter informações de contas

    Descrição: a correção para o CVE-2012-0652 no OS X Lion 10.7.4 impedia as palavras-passe dos utilizadores de ficarem gravadas no registo do sistema, mas não removia as entradas antigas do registo. Este problema foi resolvido apagando os ficheiros de registo antigos que continham palavras-passe. O problema não afeta os sistemas Mac OS X 10.6 ou o OS X Mountain Lion.

    ID CVE

    CVE-2012-0652

  • Componentes internacionais para Unicode

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: as aplicações que utilizam ICU poderão estar vulneráveis ao encerramento inesperado da aplicação ou à execução de código arbitrário

    Descrição: ocorria uma ultrapassagem do limite máximo de memória intermédia no processamento de ID ICU locais. Este problema foi resolvido através de uma melhor verificação dos limites. Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-4599

  • Kernel

    Disponível para: OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: um programa malicioso poderia ignorar as restrições da sandbox

    Descrição: existia um problema de lógica no processamento de chamadas de depuração do sistema. Isto poderá permitir que um programa malicioso obtenha a execução de um código noutros programas com os mesmos privilégios de utilizador. Este problema foi resolvido desativando o processamento de endereços em PT_STEP e PT_CONTINUE. Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-0643: Dream Team do iOS Jailbreak

  • Janela de início de sessão

    Disponível para: OS X Mountain Lion v10.8 e v10.8.1

    Impacto: um utilizador local poderá obter as palavras-passe de início de sessão de outro utilizador

    Descrição: um método de entrada instalado por um utilizador podia intercetar os toques nas teclas ao introduzir palavras-passe a partir da Janela de início de sessão ou do Desbloqueio da protecção de ecrã. Este problema foi resolvido impedindo a utilização dos métodos instalados pelo utilizador quando o sistema processa informações de início de sessão.

    ID CVE

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: visualizar uma mensagem de e-mail poderá levar à execução de plug-ins da web

    Descrição: existia um erro de validação de entrada no processamento de plug-ins da web incorporados por parte do Mail. Este problema foi resolvido desativando os plug-ins de terceiros no Mail. Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-3719: Will Dormann da CERT/CC

  • Contas móveis

    Disponível para: OS X Mountain Lion v10.8 e v10.8.1

    Impacto: um utilizador com acesso aos conteúdos de uma conta móvel poderá obter a palavra-passe da conta

    Descrição: criar uma conta móvel guardava um duplicado da palavra-passe na conta, que era utilizado para iniciar sessão quando a conta móvel era utilizada como uma conta externa. O duplicado da palavra-passe podia ser utilizado para determinar a palavra-passe do utilizador. O problema foi resolvido criando um duplicado da palavra-passe, mas apenas se as contas externas estiverem ativadas no sistema onde a conta móvel foi criada

    ID CVE

    CVE-2012-3720: Harald Wagener da Google, Inc.

  • PHP

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4, OS X Mountain Lion v10.8 e v10.8.1

    Impacto: várias vulnerabilidades no PHP

    Descrição: >o PHP é atualizado para a versão 5.3.15 para resolver várias vulnerabilidades, a mais grave das quais poderá provocar a execução de código arbitrário. Estão disponíveis mais informações no site do PHP em http://www.php.net/

    ID CVE

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: os scripts PHP que utilizam libpng poderão estar vulneráveis ao encerramento inesperado da aplicação ou à execução de código arbitrário

    Descrição: ocorreu um problema de corrupção de memória no processamento de ficheiros PNG. O problema foi resolvido atualizando a cópia do libpng do PHP para a versão 1.5.10. Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-3048

  • Gestor de perfis

    Disponível para: OS X Lion Server v10.7 até v10.7.4

    Impacto: um utilizador não autenticado podia enumerar dispositivos geridos

    Descrição: ocorreu um problema de autenticação na interface privada da Gestão de dispositivos. Este problema foi resolvido removendo a interface.

    Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-3721: Derick Cassidy da XEquals Corporation

  • Vista rápida

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: visualizar um ficheiro .pict criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros .pict. Este problema foi resolvido através de uma melhor validação dos ficheiros .pict. Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon) da Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento do código arbitrário "sean atoms" por parte do QuickTime. Este problema foi resolvido através de uma melhor verificação dos limites. Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-0670: Tom Gallagher (Microsoft) e Paul Bates (Microsoft) em colaboração com o programa Zero Day Initiative da HP

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de acesso à memória não inicializada no processamento de ficheiros de filmes com codificação Sorenson. Este problema foi resolvido através da melhoria da inicialização da memória. Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-3722: Will Dormann da CERT/CC

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia uma ultrapassagem do limite máximo de memória intermédia no processamento dos ficheiros de filme com codificação RLE. Este problema foi resolvido através de uma melhor verificação dos limites. Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-0668: Luigi Auriemma em colaboração com o programa Zero Day Initiative da HP

  • Ruby

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: um atacante poderá conseguir decifrar dados protegidos por SSL

    Descrição: ocorriam ataques à confidencialidade do SSL 3.0 e TLS 1.0 enquanto um conjunto de cifras utilizava uma cifra de bloqueio em modo CBC. O módulo Ruby OpenSSL desativou a medida de prevenção "empty fragment" que impediu estes ataques. Este problema foi resolvido através da ativação da medida de prevenção "empty fragment". Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-3389

  • USB

    Disponível para: OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

    Impacto: anexar um dispositivo USB poderá provocar o encerramento inesperado do sistema ou a execução de código arbitrário

    Descrição: existia um problema de corrupção da memória no processamento de descritores de hub USB. O problema foi resolvido através de um melhor processamento do campo do descritor bNbrPorts. Este problema não afeta os sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-3723: Andy Davis da NGS Secure

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: