Acerca dos conteúdos de segurança da Atualização de segurança 2009-001

Este documento descreve a Atualização de segurança 2009-001, que pode ser descarregada e instalada através das preferências da Atualização de software ou a partir das Descargas da Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple."

Atualização de segurança 2009-001

  • AFP Server

    ID CVE: CVE-2009-0142

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: um utilizador com capacidade para ligar a um servidor AFP poderá desencadear uma recusa de serviço

    Descrição: uma condição race no servidor AFP poderá provocar um loop infinito. A enumeração de ficheiros num servidor AFP poderá causar uma recusa de serviço. Esta atualização resolve o problema através de lógica de enumeração de ficheiros melhorada. Este problema afeta apenas os sistemas com Mac OS X v10.5.6.

  • Apple Pixlet Video

    ID CVE: CVE-2009-0009

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: abrir um ficheiro de filme criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de corrupção de memória ao processar ficheiros de filme com o codec Pixlet. Abrir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema através da verificação melhorada dos limites. Crédito: Apple.

  • CarbonCore

    ID CVE: CVE-2009-0020

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: abrir um ficheiro com uma bifurcação de recursos concebida com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de corrupção de memória durante o processamento das bifurcações de recursos pelo Gestor de Recursos. Abrir um ficheiro com uma bifurcação de recursos concebida com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários. Esta atualização corrige o problema através da validação melhorada das bifurcações de recursos. Crédito: Apple.

  • CFNetwork

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: restaura o funcionamento correto dos cookies com tempos de expiração nulos

    Descrição: esta atualização corrige uma regressão não relacionada com segurança introduzida no Mac OS X 10.5.6. Os cookies poderão não ser corretamente definidos se um site tentar definir um cookie de sessão introduzindo um valor nulo no campo "expira", em vez de omitir o campo. Esta atualização corrige o problema ignorando o campo "expira" se este apresentar um valor nulo.

  • CFNetwork

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: restaura o funcionamento correto dos cookies de sessão nas aplicações

    Descrição: esta atualização resolve uma regressão não relacionada com segurança introduzida no Mac OS X 10.5.6. A CFNetwork poderá não guardar os cookies no disco se várias aplicações abertas tentarem definir cookies de sessão. Esta atualização corrige o problema, assegurando que cada aplicação armazena os respetivos cookies de sessão separadamente.

  • Certificate Assistant

    ID CVE: CVE-2009-0011

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: um utilizador local pode manipular ficheiros com os privilégios de outro utilizador que executa o Certificate Assistant (Assistente de Certificados)

    Descrição: existe uma operação insegura sobre ficheiros no processamento de ficheiros temporários pelo Certificate Assistant. Isto poderá permitir que um utilizador local substitua ficheiros com os privilégios de outro utilizador que esteja a executar o Certificate Assistant. Esta atualização resolve o problema através do processamento melhorado de ficheiros temporários. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Agradecimentos: Apple.

  • ClamAV

    ID CVE: CVE-2008-5050, CVE-2008-5314

    Disponível para: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Impacto: várias vulnerabilidades no ClamAV 0.94

    Descrição: existem várias vulnerabilidades no ClamAV 0.94, das quais a mais grave pode provocar a execução de código arbitrário. Esta atualização corrige os problemas através da atualização do ClamAV para a versão 0.94.2. O ClamAV é distribuído apenas com os sistemas Mac OS X Server. Estão disponíveis mais informações através do site do ClamAV, em http://www.clamav.net/

  • CoreText

    ID CVE: CVE-2009-0012

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: visualizar conteúdo Unicode concebido com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: poderá ser ultrapassado o limite máximo do buffer da área dinâmica para dados durante o processamento de cadeias de caracteres Unicode na CoreText. A utilização da CoreText para processar cadeias de caracteres Unicode concebidas com intuito malicioso, como, por exemplo, durante a visualização de uma página Web concebida com intuito malicioso, poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta atualização resolve o problema através da verificação melhorada dos limites. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Os nossos agradecimentos a Rosyna da Unsanity por comunicar este problema.

  • CUPS

    ID CVE: CVE-2008-5183

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: visitar um site concebido com intuito malicioso pode provocar o encerramento inesperado da aplicação

    Descrição: exceder o número máximo de subscrições RSS resulta numa desreferenciação do ponteiro nulo na interface Web do CUPS. Isto poderá provocar o encerramento inesperado da aplicação ao visitar um site concebido com intuito malicioso. Para desencadear este problema, é necessário que o atacante conheça credenciais de utilizador válidas ou que estas se encontrem na memória cache do navegador do utilizador. O CUPS é automaticamente reiniciado após o desencadeamento deste problema. Esta atualização corrige o problema através do processamento correto do número de subscrições RSS. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5.

  • DS Tools

    ID CVE: CVE-2009-0013

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: as palavras-passe fornecidas à dscl ficam expostas a outros utilizadores locais

    Descrição: a ferramenta de linha de comandos dscl exigia que as palavras-passe lhes fossem comunicadas como argumentos, o que tem o potencial de as expor a outros utilizadores locais. As palavras-passe expostas incluem as de utilizadores e administradores. Esta atualização faz com que o parâmetro da palavra-passe seja opcional; a dscl pede a palavra-passe quando necessita dela. Crédito: Apple.

  • fetchmail

    ID CVE: CVE-2007-4565, CVE-2008-2711

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: várias vulnerabilidades no fetchmail 6.3.8

    Descrição: existem várias vulnerabilidades na versão 6.3.8 do fetchmail, das quais a mais grave poderá originar uma recusa de serviço. Esta atualização corrige os problemas através da atualização para a versão 6.3.9. Obtenha mais informações através do site do fetchmail em http://fetchmail.berlios.de/

  • Folder Manager

    ID CVE: CVE-2009-0014

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: outros utilizadores locais poderão aceder à pasta de descargas

    Descrição: existe um problema de permissões predefinidas no Folder Manager (Gestor de Pastas). Quando um utilizador elimina a pasta de descargas (Downloads) e o Folder Manager volta a criá-la, a pasta é criada com permissões de leitura para todos. Esta atualização corrige o problema fazendo com que o Folder Manager limite as permissões, para que a pasta seja acessível apenas ao utilizador. Este problema afeta apenas as aplicações que utilizem o Folder Manager. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Os nossos agradecimentos a Graham Perrin da CENTRIM, Universidade de Brighton, por comunicar este problema.

  • FSEvents

    ID CVE: CVE-2009-0015

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: utilizando a estrutura FSEvents, um utilizador local poderá conseguir ver a atividade do sistema de ficheiros que, de outra forma, não estaria disponível

    Descrição: existe um problema de gestão de credenciais em fseventsd. Utilizando a estrutura FSEvents, um utilizador local poderá conseguir ver a atividade do sistema de ficheiros que, de outra forma, não estaria disponível. Isto inclui o nome de um diretório que, de outra forma, o utilizador não conseguiria ver, e a deteção de atividade no diretório numa determinada altura. Esta atualização resolve o problema através da validação melhorada das credenciais em fseventsd. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Os nossos agradecimentos a Mark Dalrymple por comunicar este problema.

  • Network Time

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: a configuração do serviço Network Time (Hora da rede) foi atualizada

    Descrição: como medida de segurança proativa, esta atualização altera a configuração predefinida do serviço de hora da rede. A informação da hora e da versão do sistema já não estará disponível na configuração predefinida de ntpd. Nos sistemas Mac OS X v10.4.11, a nova configuração entra em vigor após o reinício do sistema, quando o serviço de hora da rede é ativado.

  • perl

    ID CVE: CVE-2008-1927

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: a utilização de expressões regulares que contenham caracteres UTF-8 poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de corrupção de memória no processamento de determinados caracteres UTF-8 em expressões regulares. Analisar expressões regulares concebidas com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta atualização resolve o problema ao efetuar a validação adicional das expressões regulares.

  • Printing

    ID CVE: CVE-2009-0017

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: um utilizador local pode obter privilégios de sistema

    Descrição: existe um problema de processamento de erros no csregprinter, o que poderá fazer com que seja ultrapassado o limite máximo do buffer da área dinâmica para dados. Isto poderá permitir que um utilizador local obtenha privilégios de sistema. Esta atualização resolve o problema através do processamento melhorado de erros. Os nossos agradecimentos a Lars Haulin por comunicar este problema.

  • python

    ID CVE: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: várias vulnerabilidades no python

    Descrição: existem várias vulnerabilidades no python, das quais a mais grave pode provocar a execução de código arbitrário. Esta atualização resolve os problemas ao aplicar correções do projeto python.

  • Remote Apple Events

    ID CVE: CVE-2009-0018

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: o envio de Remote Apple Events (Eventos Apple remotos) pode provocar a divulgação de informações confidenciais

    Descrição: existe um problema de buffer não inicializado no servidor de eventos remotos Apple, o que poderá provocar a divulgação do conteúdo da memória a clientes na rede. Esta atualização resolve o problema através da inicialização correta da memória. Crédito: Apple.

  • Remote Apple Events

    ID CVE: CVE-2009-0019

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: a ativação de Remote Apple Events (Eventos Apple remotos) poderá provocar o encerramento inesperado da aplicação ou a divulgação de informações confidenciais

    Descrição: existe um acesso à memória fora do limites nos Remote Apple Events. A ativação de Remote Apple Events poderá provocar o encerramento inesperado da aplicação ou a divulgação de informações confidenciais a clientes na rede. Esta atualização resolve o problema através da verificação melhorada dos limites. Crédito: Apple.

  • Safari RSS

    ID CVE: CVE-2009-0137

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: aceder a um URL de feed concebido com intuito malicioso pode causar a execução de código arbitrário

    Descrição: existem múltiplos problemas de validação de entradas durante o processamento dos URL de feeds pelo Safari. Estes problemas permitem a execução de JavaScript arbitrário na zona de segurança local. Esta atualização corrige os problemas através de um processamento melhorado de JavaScript incorporado nos URL de feeds. Os nossos agradecimentos a Clint Ruoho da Laconic Security, Billy Rios da Microsoft e Brian Mastenbrook por comunicarem estes problemas.

  • servermgrd

    ID CVE: CVE-2009-0138

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: atacantes remotos poderão conseguir aceder ao Server Manager sem credenciais válidas

    Descrição: um problema na validação de credenciais de autenticação do Server Manager poderia permitir a um atacante remoto alterar a configuração do sistema. Esta atualização resolve o problema através da validação adicional das credenciais de autenticação. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Agradecimentos: Apple.

  • SMB

    ID CVE: CVE-2009-0139

    Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: estabelecer ligação a um sistema de ficheiros SMB concebido com intuito malicioso poderá provocar o encerramento inesperado do sistema ou a execução de código arbitrário com privilégios de sistema

    Descrição: uma ultrapassagem do limite máximo de números inteiros no sistema de ficheiros SMB pode fazer com que seja ultrapassado o limite máximo do buffer da área dinâmica para dados. Estabelecer ligação a um sistema de ficheiros SMB concebido com intuito malicioso poderá provocar o encerramento inesperado do sistema ou a execução de código arbitrário com privilégios de sistema. Esta atualização resolve o problema através da verificação melhorada dos limites. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Agradecimentos: Apple.

  • SMB

    ID CVE: CVE-2009-0140

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: estabelecer ligação a um servidor de ficheiros SMB concebido com intuito malicioso poderá provocar o encerramento inesperado do sistema

    Descrição: existe um problema de esgotamento da memória durante o processamento de nomes de sistemas de ficheiros pelo sistema de ficheiros SMB. Estabelecer ligação a um servidor de ficheiros SMB concebido com intuito malicioso poderá provocar o encerramento inesperado do sistema. Esta atualização corrige o problema através da limitação da quantidade de memória atribuída pelo cliente para os nomes de sistemas de ficheiros. Crédito: Apple.

  • SquirrelMail

    ID CVE: CVE-2008-2379, CVE-2008-3663

    Disponível para: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Impacto: várias vulnerabilidades no SquirrelMail

    Descrição: o SquirrelMail é atualizado para a versão 1.4.17 para resolver várias vulnerabilidades, das quais a mais grave poderia provocar um problema de execução de scripts entre sites. Estão disponíveis mais informações através do site do SquirrelMail, em http://www.SquirrelMail.org/

  • X11

    ID CVE: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: várias vulnerabilidades no servidor X11

    Descrição: existem várias vulnerabilidades no servidor X11. A mais grave dessas vulnerabilidades poderá provocar a execução de código arbitrário com os privilégios do utilizador que executa o servidor X11, se o atacante conseguir autenticar-se no servidor X11. Esta atualização resolve os problemas através da aplicação das correções atualizadas do X.Org. Estão disponíveis mais informações no site do X.Org, em http://www.x.org/wiki/Development/Security

  • X11

    ID CVE: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impacto: várias vulnerabilidades no FreeType v2.1.4

    Descrição: existem várias vulnerabilidades no FreeType v2.1.4, das quais a mais grave pode levar à execução de código arbitrário durante o processamento de um tipo de letra concebido com intuito malicioso. Esta atualização resolve os problemas através da incorporação de correções de segurança da versão 2.3.6 do FreeType. Estão disponíveis mais informações através do site do FreeType, em http://www.freetype.org/ Os problemas já foram corrigidos nos sistemas que executam Mac OS X v10.5.6.

  • X11

    ID CVE: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impacto: várias vulnerabilidades na LibX11

    Descrição: existem várias vulnerabilidades na LibX11, das quais a mais grave pode levar à execução de código arbitrário durante o processamento de um tipo de letra concebido com intuito malicioso. Esta atualização resolve os problemas através da aplicação das correções atualizadas do X.Org. Estão disponíveis mais informações através do site do X.Org, em http://www.x.org/wiki/Development/Security Estes problemas não afetam os sistemas que executam o Mac OS X v10.5 ou posterior.

  • XTerm

    ID CVE: CVE-2009-0141

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: um utilizador local pode enviar informações diretamente para o Xterm de outro utilizador

    Descrição: existe um problema de permissões no Xterm. Quando utilizado com luit, o Xterm cria dispositivos tty acessíveis a todos. Esta atualização corrige o problema, fazendo com que o Xterm limite as permissões de modo que os dispositivos tty sejam acessíveis apenas pelo utilizador.

Importante: a menção de sites e de produtos de terceiros destina-se apenas a efeitos de informação, e não constitui uma recomendação nem aprovação. A Apple não assume qualquer responsabilidade relativamente à seleção, desempenho ou utilização de informações ou produtos encontrados em sites de terceiros. A Apple fornece estas informações apenas como comodidade para os nossos utilizadores. A Apple não testou as informações encontradas nestes sites e não garante a respetiva precisão ou fiabilidade. Existem riscos inerentes à utilização de quaisquer informações ou produtos encontrados na Internet e a Apple não assume qualquer responsabilidade a este respeito. Tenha em atenção que um site de terceiros é independente da Apple e que a Apple não tem controlo sobre os conteúdos do respetivo site. Contacte o fornecedor para obter mais informações.

Data de publicação: