Este artigo foi arquivado e já não é actualizado pela Apple.

Acerca da Atualização de segurança 2008-007

Este documento descreve a Atualização de segurança 2008-007, que pode ser descarregada e instalada através das preferências da Atualização de software ou a partir das Descargas da Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo ""Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

Atualização de segurança 2008-007

  • Apache

    • ID CVE: CVE-2007-6420, CVE-2008-1678, CVE-2008-2364

    • Disponível para: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impacto: existem várias vulnerabilidades no Apache 2.2.8

    • Descrição: o Apache é atualizado para a versão 2.2.9 para resolver várias vulnerabilidades, sendo que a mais grave poderá levar à falsificação de pedidos entre sites. A versão 2 do Apache não está incluída em sistemas Mac OS X Client anteriores à versão 10.5. A versão 2 do Apache está incluída em sistemas Mac OS X Server v10.4.x, mas não está ativada por predefinição. Estão disponíveis mais informações no site da Apache em http://httpd.apache.org/

  • Certificates

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impacto: os certificados raiz foram atualizados

    • Descrição: vários certificados de confiança foram adicionados à lista de raízes do sistema. Vários certificados existentes foram atualizados para a versão mais recente. A lista completa de raízes do sistema reconhecidas pode ser visualizada através da aplicação Acesso a porta-chaves.

  • ClamAV

    • ID CVE: CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

      Disponível para: Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Impacto: existem várias vulnerabilidades no ClamAV 0.93.3

    • Descrição: existem várias vulnerabilidades no ClamAV 0.93.3, sendo que a mais grave poderá provocar a execução de um código arbitrário. Esta atualização resolve os problemas através da atualização para o ClamAV 0.94. O ClamAV não está incluído em sistemas Mac OS X Client. Estão disponíveis mais informações através do site do ClamAV, em http://www.clamav.net/

  • ColorSync

    • ID CVE: CVE-2008-3642

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impacto: a visualização de uma imagem criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    • Descrição: existe um problema de ultrapassagem do limite máximo do buffer no processamento de imagens com um perfil ICC incorporado. Abrir uma imagem criada com intuito malicioso, com um perfil ICC incorporado, poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema através da validação adicional dos perfis ICC nas imagens. Crédito: Apple.

  • CUPS

    • ID CVE: CVE-2008-3641

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impacto: um atacante remoto poderá conseguir provocar a execução de código arbitrário com os privilégios do utilizador "Ip"

    • Descrição: existe um problema de verificação de intervalos no filtro Hewlett-Packard Graphics Language (HPGL), que poderá fazer com que a memória arbitrária seja substituída com dados controlados. Se a partilha de impressoras estiver ativada, um atacante remoto poderá conseguir provocar a execução de código arbitrário com os privilégios do utilizador "Ip". Se a partilha de impressoras não estiver ativada, um utilizador local poderá conseguir obter privilégios elevados. Esta atualização resolve o problema ao efetuar verificações adicionais dos limites. Os nossos agradecimentos a regenrecht, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.

  • Finder

    • ID CVE: CVE-2008-3643

    • Disponível para: Mac OS X v10.5.5, Mac OS X Server v10.5.5

      Impacto: um ficheiro no ambiente de trabalho poderá provocar uma recusa de serviço

    • Descrição: existe um problema de recuperação de erros no Finder. Um ficheiro criado com intuito malicioso no ambiente de trabalho que provoca o encerramento inesperado do Finder ao gerar o respetivo ícone provocará o encerramento e reinício do Finder continuamente. Até o ficheiro ser removido, não é possível aceder à conta de utilizador através da interface de utilizador do Finder. Esta atualização resolve o problema ao gerar ícones num processo separado. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Os nossos agradecimentos a Sergio "shadown" Alvarez da n.runs AG por ter comunicado este problema.

  • launchd

    • Impacto: as aplicações poderão não conseguir introduzir uma sandbox quando pedido

    • Disponível para: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Descrição: esta atualização resolve um problema introduzido no Mac OS X v10.5.5. Um problema de implementação no launchd poderá fazer com que a aplicação não consiga fazer o pedido de introdução de uma sandbox. Este problema não afeta programas que utilizam a API sandbox_init documentada. Esta atualização resolve o problema ao fornecer uma versão atualizada do launchd. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5.5.

  • libxslt

    • ID CVE: CVE-2008-1767

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impacto: processar um documento XML poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

      Descrição: existe um problema de ultrapassagem do limite máximo do buffer da área dinâmica para dados na biblioteca do libxslt. A visualização de uma página HTML criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Estão disponíveis mais informações sobre a correção aplicada no site http://xmlsoft.org/XSLT/ Os nossos agradecimentos a Anthony de Almeida Lopes da Outpost24 AB e a Chris Evans da Google Security Team por terem comunicado este problema.

  • MySQL Server

    • ID CVE: CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

    • Disponível para: Mac OS X Server v10.5.5

      Impacto: existem várias vulnerabilidades no MySQL 5.0.45

    • Descrição: o MySQL foi atualizado para a versão 5.0.67 para corrigir várias vulnerabilidades, sendo que a mais grave poderá provocar a execução de um código arbitrário. Estes problemas afetam apenas os sistemas Mac OS X Server. Estão disponíveis mais informações no site do MySQL em http://dev.mysql.com/doc/refman/5.0/en/news-5-0-67.html

  • Networking

    • ID CVE: CVE-2008-3645

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impacto: um utilizador local poderá obter privilégios do sistema

    • Descrição: existe um problema de ultrapassagem do limite máximo do buffer da área dinâmica para dados no componente IPC local do plugin EAPOLController de configd, que poderá permitir que um utilizador local obtenha privilégios do sistema. Esta atualização resolve o problema através da verificação melhorada dos limites. Crédito: Apple.

  • PHP

    • ID CVE: CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Impacto: existem várias vulnerabilidades no PHP 4.4.8

    • Descrição: o PHP foi atualizado para a versão 4.4.9 para corrigir várias vulnerabilidades, sendo que a mais grave poderá provocar a execução de um código arbitrário. Estão disponíveis mais informações no site do PHP em http://www.php.net/ Estes problemas afetam apenas sistemas que executam o Mac OS X v10.4.x, Mac OS X Server v10.4.x ou Mac OS X Server v10.5.x.

  • Postfix

    • ID CVE: CVE-2008-3646

    • Disponível para: Mac OS X v10.5.5

      Impacto: um atacante remoto poderá conseguir enviar um e-mail diretamente para utilizadores locais

    • Descrição: existe um problema nos ficheiros de configuração do Postfix. Durante o período de um minuto após uma ferramenta de linha de comandos local enviar o e-mail, é possível aceder ao Postfix através da rede. Durante este período, uma entidade remota que pode ligar-se à porta SMTP poderá enviar um e-mail para utilizadores locais e utilizar o protocolo SMTP. Este problema não faz com que o sistema seja um transmissor de e-mails aberto. Este problema é resolvido ao modificar a configuração do Postfix para evitar ligações SMTP a partir de máquinas remotas. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5 e não afeta o Mac OS X Server. Os nossos agradecimentos a Pelle Johansson por ter comunicado este problema.

  • PSNormalizer

    • ID CVE: CVE-2008-3647

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impacto: visualizar um ficheiro do PostScript criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    • Descrição: existe um problema de ultrapassagem do limite máximo do buffer no processamento do comentário da caixa de seleção do PSNormalizer em ficheiros do PostScript. Ver um ficheiro do PostScript criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta atualização resolve o problema através da validação adicional de ficheiros do PostScript.

    • Crédito: Apple.

  • QuickLook

    • ID CVE: CVE-2008-4211

    • Disponível para: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impacto: descarregar ou visualizar um ficheiro Microsoft Excel criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    • Descrição: existe um problema de assinatura no processamento de colunas em ficheiros Microsoft Excel do QuickLook que poderá resultar no acesso a memória fora do limite. Descarregar ou ver um ficheiro Microsoft Excel criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta atualização resolve o problema através da validação adicional de ficheiros Microsoft Excel. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Agradecimentos: Apple.

  • rlogin

    • ID CVE: CVE-2008-4212

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impacto: os sistemas que foram manualmente configurados para utilizar o rlogin e o host.equiv poderão permitir inesperadamente um início de sessão raiz

    • Descrição: a página principal para a configuração do ficheiro hosts.equiv indica que as entradas não se aplicam à raiz. No entanto, um problema de implementação no rlogind faz com que estas entradas também se apliquem à raiz. Esta atualização resolve o problema ao remover devidamente o rlogin do utilizador de raiz se o sistema remoto estiver no hosts.equiv. O serviço do rlogin não está ativado por predefinição no Mac OS X e tem de ser configurado manualmente para ser ativado. Os nossos agradecimentos a Ralf Meyer por ter comunicado este problema.

  • Script Editor

    • ID CVE: CVE-2008-4214

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impacto: um utilizador local poderá obter os privilégios de outro utilizador que está a utilizar o Script Editor

    • Descrição: existe um problema de operação de ficheiro insegura na aplicação Script Editor ao abrir dicionários de scripting da aplicação. Um utilizador local pode fazer com que o dicionário de scripting seja escrito num caminho arbitrário acessível pelo utilizador que está a executar a aplicação. Esta atualização resolve o problema através da criação do ficheiro temporário numa localização segura. Crédito: Apple.

  • Single Sign-On

    • Disponível para: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impacto: o comando sso_util aceita, agora, palavras-passe de um ficheiro

    • Descrição: o comando sso_util aceita, agora, palavras-passe de um ficheiro com nome na variável do ambiente SSO_PASSWD_PATH. Isto permite aos scripts automáticos utilizar o comando sso_util de forma mais segura.

  • Tomcat

    • ID CVE: CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461

    • Disponível para: Mac OS X Server v10.5.5

    • Impacto: existem várias vulnerabilidades no Tomcat 6.0.14

    • Descrição: o Tomcat em sistemas Mac OS X v10.5 foi atualizado para a versão 6.0.18 para corrigir várias vulnerabilidades, sendo que a mais grave poderá provocar um ataque de execução de scripts entre sites. Estes problemas afetam apenas os sistemas Mac OS X Server. Estão disponíveis mais informações no site do Tomcat em http://tomcat.apache.org/

  • vim

    • ID CVE: CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

    • Disponível para: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impacto: existem várias vulnerabilidades no vim 7.0

    • Descrição: existem várias vulnerabilidades no vim 7.0, sendo que a mais grave poderá provocar a execução de um código arbitrário ao trabalhar com ficheiros criados com intuito malicioso. Esta atualização resolve os problemas através da atualização para o 7.2.0.22. Estão disponíveis mais informações no site do vim em http://www.vim.org/

  • Weblog

    • ID CVE: CVE-2008-4215

    • Disponível para: Mac OS X Server v10.4.11

    • Impacto: o controlo de acesso em publicações do weblog poderá não ser aplicado

    • Descrição: existe uma condição de erro não verificada no servidor do weblog. Adicionar um utilizador com vários nomes curtos à lista de controlo de acesso para uma publicação do weblog poderá fazer com que o servidor do weblog não aplique o controlo de acesso. Este problema é resolvido ao melhorar a forma como as listas de controlo de acesso são guardadas. Este problema afeta apenas os sistemas que executam o Mac OS X Server v10.4. Crédito: Apple.

Data de publicação: