Acerca dos conteúdos de segurança do OS X Mountain Lion v10.8.5 e da Atualização de segurança 2013-004
Este documento descreve os conteúdos de segurança do OS X Mountain Lion v10.8.5 e da Atualização de segurança 2013-004.
Estes podem ser descarregados e instalados através das preferências da Atualização de software ou a partir de Descargas da Apple.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
OS X Mountain Lion v10.8.5 e Atualização de segurança 2013-004
Apache
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: várias vulnerabilidades no Apache
Descrição: existiam várias vulnerabilidades no Apache, sendo que a mais grave podia provocar a execução de scripts entre sites. Estes problemas foram resolvidos através da atualização do Apache para a versão 2.2.24.
CVE-ID
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: várias vulnerabilidades no BIND
Descrição: existiam várias vulnerabilidades no BIND, sendo que a mais grave podia provocar uma recusa de serviço. Estes problemas foram resolvidos através da atualização do BIND para a versão 9.8.5-P1. O CVE-2012-5688 não afetava sistemas Mac OS X v10.7.
CVE-ID
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: os certificados raiz foram atualizados
Descrição: vários certificados foram adicionados ou removidos da lista de raízes do sistema. A lista completa de raízes do sistema reconhecidas pode ser visualizada através da aplicação Acesso a porta-chaves.
ClamAV
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5
Impacto: várias vulnerabilidades no ClamAV
Descrição: existem várias vulnerabilidades no ClamAV, sendo que a mais grave pode provocar a execução de um código arbitrário. Esta atualização resolve os problemas ao atualizar o ClamAV para a versão 0.97.8.
CVE-ID
CVE-2013-2020
CVE-2013-2021
CoreGraphics
Disponível para: OS X Mountain Lion v10.8 a v10.8.4
Impacto: ver um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de dados codificados JBIG2 em ficheiros PDF. Este problema foi resolvido através da verificação adicional dos limites.
CVE-ID
CVE-2013-1025: Felix Groebert da Google Security Team
ImageIO
Disponível para: OS X Mountain Lion v10.8 a v10.8.4
Impacto: ver um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de dados codificados JPEG2000 em ficheiros PDF. Este problema foi resolvido através da verificação adicional dos limites.
CVE-ID
CVE-2013-1026: Felix Groebert da Google Security Team
Installer
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: era possível abrir pacotes após a revogação do certificado
Descrição: quando um Installer detetava um certificado revogado, apresentava uma caixa de diálogo com uma opção para continuar. Este problema foi resolvido ao remover a caixa de diálogo e recusar qualquer pacote revogado.
CVE-ID
CVE-2013-1027
IPSec
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: um atacante pode intercetar dados protegidos com IPSec Hybrid Auth
Descrição: o nome DNS de um servidor IPSec Hybrid Auth não estava a efetuar a correspondência em relação ao certificado, o que permitia a um atacante com um certificado de qualquer servidor fazer-se passar por outro. Este problema foi resolvido através da verificação adequada do certificado.
CVE-ID
CVE-2013-1028: Alexander Traud de www.traud.de
Kernel
Disponível para: OS X Mountain Lion v10.8 a v10.8.4
Impacto: o utilizador de uma rede local pode provocar uma recusa de serviço
Descrição: uma verificação incorreta no código de análise do pacote IGMP no kernel permitia que um utilizador que pudesse enviar pacotes IGMP para o sistema provocasse um pânico do kernel. Este problema foi resolvido através da remoção da verificação.
CVE-ID
CVE-2013-1029: Christopher Bohn da PROTECTSTAR INC.
Mobile Device Management
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: palavras-passe podem ser divulgadas a outros utilizadores locais
Descrição: uma palavra-passe foi transmitida na linha de comandos para mdmclient, o que a tornou visível a outros utilizadores no mesmo sistema. O problema foi resolvido com a comunicação da palavra-passe através de uma ligação.
CVE-ID
CVE-2013-1030: Per Olofsson da Universidade Gotemburgo
OpenSSL
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: várias vulnerabilidades no OpenSSL
Descrição: existiam várias vulnerabilidades no OpenSSL, sendo que a mais grave podia provocar a divulgação de dados do utilizador. Estes problemas foram resolvidos através da atualização do OpenSSL para a versão 0.9.8y.
CVE-ID
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: várias vulnerabilidades no PHP
Descrição: existiam várias vulnerabilidades no PHP, sendo que a mais grave podia provocar a execução de um código arbitrário. Estes problemas foram resolvidos através da atualização do PHP para a versão 5.3.26.
CVE-ID
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: várias vulnerabilidades no PostgreSQL
Descrição: existiam várias vulnerabilidades no PostgreSQL, sendo que a mais grave podia provocar a corrupção de dados ou o reencaminhamento de privilégios. O CVE-2013-1901 não afeta sistemas OS X Lion. Esta atualização resolve os problemas ao atualizar o PostgreSQL para a versão 9.1.9 em sistemas OS X Mountain Lion e para a versão 9.0.4 em sistemas OS X Lion.
CVE-ID
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
Disponível para: OS X Mountain Lion v10.8 a v10.8.4
Impacto: a proteção de ecrã pode não iniciar após o período de tempo especificado
Descrição: existia um problema de bloqueio de asserção de energia. Este problema foi resolvido através do processamento melhorado do bloqueio.
CVE-ID
CVE-2013-1031
QuickTime
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: ver um ficheiro de filme criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção da memória no processamento de átomos “idsc” em ficheiros de filme do QuickTime. Este problema foi resolvido através da verificação adicional dos limites.
CVE-ID
CVE-2013-1032: Jason Kratzer em colaboração com a iDefense VCP
Screen Lock
Disponível para: OS X Mountain Lion v10.8 a v10.8.4
Impacto: um utilizador com um acesso de partilha de ecrã pode conseguir ignorar o bloqueio de ecrã quando outro utilizador tiver sessão iniciada
Descrição: existia um problema de gestão da sessão no processamento de sessões de partilha de ecrã por parte do bloqueio de ecrã. Este problema foi resolvido através do controlo melhorado das sessões.
CVE-ID
CVE-2013-1033: Jeff Grisso da Atos IT Solutions, Sébastien Stormacq
sudo
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: um atacante com controlo da conta de um utilizador administrador pode conseguir obter privilégios raiz sem conhecer a palavra-passe do utilizador
Descrição: ao definir o relógio do sistema, um atacante pode conseguir utilizar sudo para obter privilégios raiz em sistemas onde sudo foi utilizado anteriormente. No OS X, apenas os utilizadores administradores podem alterar o relógio do sistema. Este problema foi resolvido através da verificação de um marcador de hora inválido.
CVE-ID
CVE-2013-1775
Nota: o OS X Mountain Lion v10.8.5 também resolve um problema em que determinadas cadeias Unicode podiam fazer com que aplicações fossem encerradas inesperadamente.
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.