Acerca dos conteúdos de segurança do OS X Yosemite v10.10.5 e da Actualização de segurança 2015-006
Este documento descreve os conteúdos de segurança do OS X Yosemite v10.10.5 e da Actualização de segurança 2015-006.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
OS X Yosemite v10.10.5 e Actualização de segurança 2015-006
apache
Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: existiam várias vulnerabilidades no Apache 2.4.16, a mais grave das quais poderia permitir que um atacante remoto provocasse uma recusa de serviço.
Descrição: existiam várias vulnerabilidades em versões do Apache anteriores à 2.4.16. Estas vulnerabilidades foram resolvidas através da atualização do Apache para a versão 2.4.16.
ID CVE
CVE-2014-3581
CVE-2014-3583
CVE-2014-8109
CVE-2015-0228
CVE-2015-0253
CVE-2015-3183
CVE-2015-3185
apache_mod_php
Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: existiam várias vulnerabilidades no PHP 5.5.20, a mais grave das quais poderá provocar a execução de um código arbitrário.
Descrição: existiam várias vulnerabilidades em versões do PHP anteriores à 5.5.20. Estas vulnerabilidades foram resolvidas através da atualização do Apache para a versão 5.5.27.
ID CVE
CVE-2015-2783
CVE-2015-2787
CVE-2015-3307
CVE-2015-3329
CVE-2015-3330
CVE-2015-4021
CVE-2015-4022
CVE-2015-4024
CVE-2015-4025
CVE-2015-4026
CVE-2015-4147
CVE-2015-4148
Plug-in do OD para ID Apple
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma aplicação maliciosa poderá conseguir alterar a palavra-passe de um utilizador local
Descrição: em determinadas circunstâncias, existia um problema de gestão do estado na autentificação da palavra-passe. O problema foi resolvido através da gestão melhorada de estado.
ID CVE
CVE-2015-3799: um investigador anónimo em colaboração com o programa Zero Day Initiative da HP
AppleGraphicsControl
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema no AppleGraphicsControl que poderia levar à divulgação do esquema de memória do kernel. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2015-5768: JieTao Yang da KeenTeam
Bluetooth
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória no IOBluetoothHCIController. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-3779: Teddy Reed da Segurança do Facebook
Bluetooth
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: um problema de gestão de memória poderia ter levado à divulgação do esquema de memória do kernel. Este problema foi resolvido através da gestão melhorada de memória.
ID CVE
CVE-2015-3780: Roberto Paleari e Aristide Fattori da Emaze Networks
Bluetooth
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma app maliciosa poderá conseguir aceder às notificações de outros dispositivos iCloud
Descrição: existia um problema no qual uma app maliciosa conseguiria aceder às notificações da Central de notificações de um Mac emparelhado por Bluetooth ou de um dispositivo iOS através do Apple Notification Center Service. O problema afetou dispositivos com o Handoff e que tiveram sessão iniciada na mesma conta iCloud. Este problema foi resolvido ao revogar o acesso ao Apple Notification Center Service.
ID CVE
CVE-2015-3786: Xiaolong Bai (Universidade de Tsinghua), System Security Lab (Universidade do Indiana), Tongxin Li (Universidade de Pequim), XiaoFeng Wang (Universidade do Indiana)
Bluetooth
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um atacante com uma posição privilegiada na rede poderá conseguir efetuar um ataque de recusa de serviço com pacotes de Bluetooth criados incorretamente
Descrição: existia um problema na validação de entrada na análise dos pacotes ACL de Bluetooth. Este problema foi resolvido através da validação melhorada de entrada.
ID CVE
CVE-2015-3787: Trend Micro
Bluetooth
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um atacante local poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam vários problemas de ultrapassagem do limite máximo do buffer no processamento de mensagens XPC por parte do blued. Estes problemas foram resolvidos através da verificação melhorada dos limites.
ID CVE
CVE-2015-3777: mitp0sh da [PDX]
bootp
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma rede Wi-Fi maliciosa poderá conseguir determinar a que redes um dispositivo acedeu anteriormente
Descrição: ao estabelecer ligação a uma rede Wi-Fi, o iOS poderá ter difundido endereços MAC de redes anteriormente acedidas através do protocolo DNAv4. Este problema foi resolvido através da desativação do protocolo DNAv4 em redes Wi-Fi não cifradas.
ID CVE
CVE-2015-3778: Piers O'Hanlon do Oxford Internet Institute, Universidade de Oxford (no projeto EPSRC Being There)
CloudKit
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma aplicação maliciosa poderá conseguir aceder ao registo de utilizador do iCloud de um utilizador que tenha iniciado sessão anteriormente
Descrição: existia uma inconsistência do estado no CloudKit ao terminar a sessão dos utilizadores. Este problema foi resolvido através do processamento melhorado do estado.
ID CVE
CVE-2015-3782: Deepkanwal Plaha da Universidade de Toronto
CoreMedia Playback
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam problemas de corrupção de memória no CoreMedia Playback. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada de entrada.
ID CVE
CVE-2015-5761: John Villamil (@day6reak), Equipa Pentest da Yahoo
CoreText
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada de entrada.
ID CVE
CVE-2015-5755: John Villamil (@day6reak), Equipa Pentest da Yahoo
curl
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: várias vulnerabilidades no cURL e libcurl anteriores à versão 7.38.0, uma das quais poderá permitir que atacantes remotos ignorem a Same Origin Policy.
Descrição: existiam várias vulnerabilidades no cURL e libcurl anteriores à versão 7.38.0. Estas vulnerabilidades foram resolvidas através da atualização do cURL para a versão 7.43.0.
ID CVE
CVE-2014-3613
CVE-2014-3620
CVE-2014-3707
CVE-2014-8150
CVE-2014-8151
CVE-2015-3143
CVE-2015-3144
CVE-2015-3145
CVE-2015-3148
CVE-2015-3153
Data Detectors Engine
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: o processamento de uma sequência de caracteres Unicode pode provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam problemas de corrupção de memória no processamento de caracteres Unicode. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2015-5750: M1x7e1 da Safeye Team (www.safeye.org)
Painel de preferências Data e hora
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: as aplicações que dependem do relógio do sistema poderão ter um comportamento inesperado
Descrição: existia um problema de autorização ao modificar as preferências de data e hora do sistema. Este problema foi resolvido através de verificações adicionais de autorização.
ID CVE
CVE-2015-3757: Mark S C Smith
Aplicação Dicionário
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um atacante com uma posição privilegiada na rede poderá intercetar as consultas do utilizador na app Dicionário
Descrição: existia um problema com a app Dicionário, que não protegia devidamente as comunicações do utilizador. Este problema foi resolvido através da mudança das consultas do Dicionário para HTTPS.
ID CVE
CVE-2015-3774: Jeffrey Paul da EEQJ, Jan Bee da Equipa de segurança da Google
DiskImages
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: o processamento de um ficheiro DMG criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória na análise de imagens DMG criadas incorretamente. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-3800: Frank Graziano da Equipa Pentest da Yahoo
dyld
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de validação dos caminhos no dyld. Este problema foi resolvido através do manuseamento melhorado do ambiente.
ID CVE
CVE-2015-3760: beist da grayhash, Stefan Esser
FontParser
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada de entrada.
ID CVE
CVE-2015-3804: Apple
CVE-2015-5775: Apple
FontParser
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada de entrada.
ID CVE
CVE-2015-5756: John Villamil (@day6reak), Equipa Pentest da Yahoo
groff
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: vários problemas com o pdfroff
Descrição: existiam vários problemas com o pdfroff, o mais grave dos quais poderá permitir a alteração arbitrária do sistema de ficheiros. Estes problemas foram resolvidos através da remoção do pdfroff.
ID CVE
CVE-2009-5044
CVE-2009-5078
ImageIO
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: o processamento de uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de imagens TIFF. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2015-5758: Apple
ImageIO
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação da memória de processamento
Descrição: existia um problema de acesso à memória não inicializada no processamento de imagens PNG e TIFF pelo ImageIO. Visitar um site malicioso poderá provocar o envio de dados da memória de processamento para o site. Este problema é resolvido através de uma melhoria na inicialização da memória e validação adicional das imagens PNG e TIFF.
ID CVE
CVE-2015-5781: Michal Zalewski
CVE-2015-5782: Michal Zalewski
Install Framework Legacy
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios de raiz
Descrição: existia um problema na forma como o binário de "execução" do Install.framework retirava privilégios. Este problema foi resolvido através da gestão melhorada dos privilégios.
ID CVE
CVE-2015-5784: Ian Beer do Google Project Zero
Install Framework Legacy
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de condição de disputa no binário de "execução" do Install.framework que resultava em privilégios retirados incorretamente. Este problema foi resolvido através do bloqueio melhorado do objeto.
ID CVE
CVE-2015-5754: Ian Beer do Google Project Zero
IOFireWireFamily
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existiam problemas de corrupção de memória no IOFireWireFamily. Estes problemas foram resolvidos através de uma validação adicional da entrada do tipo.
ID CVE
CVE-2015-3769: Ilja van Sprundel
CVE-2015-3771: Ilja van Sprundel
CVE-2015-3772: Ilja van Sprundel
IOGraphics
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória no IOGraphics. Este problema foi resolvido através de uma validação adicional da entrada do tipo.
ID CVE
CVE-2015-3770: Ilja van Sprundel
CVE-2015-5783: Ilja van Sprundel
IOHIDFamily
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de ultrapassagem do limite máximo do buffer no IOHIDFamily. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-5774: Equipa TaiG Jailbreak
Kernel
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema na interface mach_port_space_info, que poderia ter levado à divulgação do esquema de memória do kernel. Este problema foi resolvido através da desativação da interface mach_port_space_info.
ID CVE
CVE-2015-3766: Cererdlong da Equipa Mobile Security da Alibaba, @PanguTeam
Kernel
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de funções do IOKit. Este problema foi resolvido através da validação melhorada dos argumentos do API do IOKit.
ID CVE
CVE-2015-3768: Ilja van Sprundel
Kernel
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um utilizador local poderá conseguir provocar uma recusa de serviço do sistema
Descrição: existia um problema de esgotamento de recursos na unidade fasttrap. O problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-5747: Maxime VILLARD da m00nbsd
Kernel
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um utilizador local poderá conseguir provocar uma recusa de serviço do sistema
Descrição: existia um problema de validação na montagem de volumes HFS. Este problema foi resolvido através de verificações adicionais.
ID CVE
CVE-2015-5748: Maxime VILLARD da m00nbsd
Kernel
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma aplicação maliciosa poderá conseguir executar um código não assinado
Descrição: existia um problema que permitia que código não assinado fosse adicionado a código assinado num ficheiro executável criado com intuito malicioso. Este problema foi resolvido através da validação melhorada da assinatura do código.
ID CVE
CVE-2015-3806: Equipa TaiG Jailbreak
Kernel
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um ficheiro executável criado com intuito malicioso poderia permitir a execução de código malicioso e não assinado
Descrição: existia um problema na forma como os ficheiros executáveis multiarquitetura eram avaliados, o que poderia ter permitido que um código não assinado fosse executado. Este problema foi resolvido através da validação melhorada de ficheiros executáveis.
ID CVE
CVE-2015-3803: Equipa TaiG Jailbreak
Kernel
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um utilizador local poderá conseguir executar um código não assinado
Descrição: existia um problema de validação no processamento de ficheiros Mach-O. Este problema foi resolvido através de verificações adicionais.
ID CVE
CVE-2015-3802: Equipa TaiG Jailbreak
CVE-2015-3805: Equipa TaiG Jailbreak
Kernel
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: analisar um plist criado com intuito malicioso poderá levar ao encerramento inesperado da aplicação ou à execução de um código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória no processamento de plists criados incorretamente. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-3776: Teddy Reed da Segurança do Facebook, Patrick Stein (@jollyjinx) da Jinx Germany
Kernel
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de validação dos caminhos. Este problema foi resolvido através do manuseamento melhorado do ambiente.
ID CVE
CVE-2015-3761: Apple
Libc
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: o processamento de uma expressão regular criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam problemas de corrupção de memória na biblioteca TRE. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2015-3796: Ian Beer do Google Project Zero
CVE-2015-3797: Ian Beer do Google Project Zero
CVE-2015-3798: Ian Beer do Google Project Zero
Libinfo
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam problemas de corrupção de memória no processamento de sockets AF_INET6. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2015-5776: Apple
libpthread
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória no processamento de syscalls. Este problema foi resolvido através da verificação melhorada do estado de bloqueio.
ID CVE
CVE-2015-5757: Lufeng Li da Qihoo 360
libxml2
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: existiam várias vulnerabilidades nas versões do libxml2 anteriores à 2.9.2, a mais grave das quais poderá permitir que um atacante remoto provoque uma recusa de serviço
Descrição: existiam várias vulnerabilidades nas versões do libxml2 anteriores à 2.9.2. Estas vulnerabilidades foram resolvidas através da atualização do libxml2 para a versão 2.9.2.
ID CVE
CVE-2012-6685: Felix Groebert da Google
CVE-2014-0191: Felix Groebert da Google
libxml2
Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: analisar um documento XML criado com intuito malicioso poderá levar à divulgação de informações do utilizador
Descrição: existia um problema de acesso à memória no libxml2. Este problema foi resolvido através do processamento melhorado da memória
ID CVE
CVE-2014-3660: Felix Groebert da Google
libxml2
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: analisar um documento XML criado com intuito malicioso poderá levar à divulgação de informações do utilizador
Descrição: existia um problema de corrupção de memória na análise de ficheiros XML. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-3807: Apple
libxpc
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória no processamento de mensagens XPC criadas incorretamente. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2015-3795: Mathew Rowley
mail_cmds
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um utilizador local poderá conseguir executar comandos shell arbitrários
Descrição: existia um problema de validação na análise de endereços de e-mail do mailx. Este problema foi resolvido através de uma melhoria no manuseamento.
ID CVE
CVE-2014-7844
Central de notificações do OS X
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: uma aplicação maliciosa poderá conseguir aceder a todas as notificações previamente apresentadas aos utilizadores
Descrição: existia um problema com a Central de notificações, que não apagava devidamente as notificações dos utilizadores. Este problema foi resolvido ao apagar corretamente as notificações fechadas pelos utilizadores.
ID CVE
CVE-2015-3764: Jonathan Zdziarski
ntfs
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória no NTFS. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-5763: Roberto Paleari e Aristide Fattori da Emaze Networks
OpenSSH
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: os atacantes remotos poderão conseguir ignorar um intervalo de tempo para tentativas falhadas de início de sessão e conseguir efetuar ataques forçados
Descrição: existia um problema ao processar dispositivos de teclado interativos. Este problema foi resolvido através de uma validação melhorada do pedido de autenticação.
ID CVE
CVE-2015-5600
OpenSSL
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: existiam várias vulnerabilidades nas versões do OpenSSL anteriores à 0.9.8zg, a mais grave das quais poderá permitir que um atacante remoto provoque uma recusa de serviço.
Descrição: existiam várias vulnerabilidades nas versões do OpenSSL anteriores à 0.9.8zg. Estes problemas foram resolvidos através da atualização do OpenSSL para a versão 0.9.8zg.
ID CVE
CVE-2015-1788
CVE-2015-1789
CVE-2015-1790
CVE-2015-1791
CVE-2015-1792
perl
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: analisar uma expressão regular criada com intuito malicioso poderá levar à divulgação de um encerramento inesperado da aplicação ou da execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite mínimo de números inteiros na forma como o Perl analisava expressões regulares. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2013-7422
PostgreSQL
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: um atacante poderá conseguir provocar um encerramento inesperado da aplicação ou obter acesso a dados sem a devida autenticação
Descrição: existiam vários problemas no PostgreSQL 9.2.4. Estes problemas foram resolvidos através da atualização do PostgreSQP para a versão 9.2.13.
ID CVE
CVE-2014-0067
CVE-2014-8161
CVE-2015-0241
CVE-2015-0242
CVE-2015-0243
CVE-2015-0244
python
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: existiam várias vulnerabilidades no Python 2.7.6, a mais grave das quais poderá levar à execução de um código arbitrário
Descrição: existiam várias vulnerabilidades em versões do Python anteriores à 2.7.6. Estas vulnerabilidades foram resolvidas através da atualização do Python para a versão 2.7.10.
ID CVE
CVE-2013-7040
CVE-2013-7338
CVE-2014-1912
CVE-2014-7185
CVE-2014-9365
QL Office
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: analisar um documento do Office criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória na análise de documentos do Office. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-5773: Apple
QL Office
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: analisar um ficheiro XML criado com intuito malicioso poderá provocar a divulgação de informações do utilizador
Descrição: existia um problema com a referência da entidade externa na análise do ficheiro XML. Este problema foi resolvido através da análise melhorada.
ID CVE
CVE-2015-3784: Bruno Morisson da INTEGRITY S.A.
Esquema do Quartz Composer
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: analisar um ficheiro do QuickTime criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória na análise de ficheiros do QuickTime. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-5771: Apple
Vista Rápida
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: procurar um site visualizado anteriormente poderá iniciar o navegador e processar esse site
Descrição: existia um problema no qual o QuickLook teria a capacidade para executar JavaScript. Este problema foi resolvido através da proibição da execução de JavaScript.
ID CVE
CVE-2015-3781: Andrew Pouliot do Facebook, Anto Loyola da Qubole
QuickTime 7
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no QuickTime. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2015-3772
CVE-2015-3779
CVE-2015-5753: Apple
CVE-2015-5779: Apple
QuickTime 7
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no QuickTime. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2015-3765: Joe Burnett da Audio Poison
CVE-2015-3788: Ryan Pentney e Richard Johnson da Cisco Talos
CVE-2015-3789: Ryan Pentney e Richard Johnson da Cisco Talos
CVE-2015-3790: Ryan Pentney e Richard Johnson da Cisco Talos
CVE-2015-3791: Ryan Pentney e Richard Johnson da Cisco Talos
CVE-2015-3792: Ryan Pentney e Richard Johnson da Cisco Talos
CVE-2015-5751: WalkerFuz
SceneKit
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: visualizar um ficheiro Collada criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer na área dinâmica para dados no processamento de ficheiros Collada do SceneKit. Este problema foi resolvido através da validação melhorada de entrada.
ID CVE
CVE-2015-5772: Apple
SceneKit
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4
Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no SceneKit. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-3783: Haris Andrianakis da Equipa de segurança da Google
Segurança
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um utilizador padrão poderá conseguir obter acesso a privilégios de administrador sem a devida autenticação
Descrição: existia um problema no processamento da autenticação de utilizador. Este problema foi resolvido através da verificação melhorada de autenticação.
ID CVE
CVE-2015-3775: [Eldon Ahrold]
SMBClient
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no cliente SMB. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-3773: Ilja van Sprundel
Speech UI
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: analisar uma cadeia Unicode criada com intuito malicioso com os avisos por voz ativados poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento das cadeias Unicode. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-3794: Adam Greenbaum da Refinitive
sudo
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: existiam várias vulnerabilidades nas versões do sudo anteriores à 1.7.10p9, a mais grave das quais poderá permitir que um atacante aceda a ficheiros arbitrários
Descrição: existiam várias vulnerabilidades nas versões do sudo anteriores à 1.7.10p9. Estes problemas foram resolvidos através da atualização do sudo para a versão 1.7.10p9.
ID CVE
CVE-2013-1775
CVE-2013-1776
CVE-2013-2776
CVE-2013-2777
CVE-2014-0106
CVE-2014-9680
tcpdump
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: existiam várias vulnerabilidades no tcpdump 4.7.3, a mais grave das quais poderá permitir que um atacante remoto provoque a recusa de serviço.
Descrição: existiam várias vulnerabilidades em versões do tcpdump anteriores à 4.7.3. Estas vulnerabilidades foram resolvidas através da atualização do tcpdump para a versão 4.7.3.
ID CVE
CVE-2014-8767
CVE-2014-8769
CVE-2014-9140
Formatos de texto
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: analisar um ficheiro de texto criado com intuito malicioso poderá levar à divulgação das informações do utilizador
Descrição: existia um problema na referência da entidade externa de XML com a análise do Editor de texto. Este problema foi resolvido através da análise melhorada.
ID CVE
CVE-2015-3762: Xiaoyong Wu da Equipa de segurança da Evernote
udf
Disponível para: OS X Yosemite v10.10 a v10.10.4
Impacto: o processamento de um ficheiro DMG criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória na análise de imagens DMG criadas incorretamente. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-3767: beist da grayhash
O OS X Yosemite v10.10.5 inclui os conteúdos de segurança do Safari 8.0.8.
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.