Acerca dos conteúdos de segurança da Atualização de segurança 2009-001
Este documento descreve a Atualização de segurança 2009-001, que pode ser descarregada e instalada através das preferências da Atualização de software ou a partir das Descargas da Apple.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple."
Atualização de segurança 2009-001
AFP Server
ID CVE: CVE-2009-0142
Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: um utilizador com capacidade para ligar a um servidor AFP poderá desencadear uma recusa de serviço
Descrição: uma condição race no servidor AFP poderá provocar um loop infinito. A enumeração de ficheiros num servidor AFP poderá causar uma recusa de serviço. Esta atualização resolve o problema através de lógica de enumeração de ficheiros melhorada. Este problema afeta apenas os sistemas com Mac OS X v10.5.6.
Apple Pixlet Video
ID CVE: CVE-2009-0009
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: abrir um ficheiro de filme criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existe um problema de corrupção de memória ao processar ficheiros de filme com o codec Pixlet. Abrir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema através da verificação melhorada dos limites. Crédito: Apple.
CarbonCore
ID CVE: CVE-2009-0020
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: abrir um ficheiro com uma bifurcação de recursos concebida com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existe um problema de corrupção de memória durante o processamento das bifurcações de recursos pelo Gestor de Recursos. Abrir um ficheiro com uma bifurcação de recursos concebida com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários. Esta atualização corrige o problema através da validação melhorada das bifurcações de recursos. Crédito: Apple.
CFNetwork
Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: restaura o funcionamento correto dos cookies com tempos de expiração nulos
Descrição: esta atualização corrige uma regressão não relacionada com segurança introduzida no Mac OS X 10.5.6. Os cookies poderão não ser corretamente definidos se um site tentar definir um cookie de sessão introduzindo um valor nulo no campo "expira", em vez de omitir o campo. Esta atualização corrige o problema ignorando o campo "expira" se este apresentar um valor nulo.
CFNetwork
Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: restaura o funcionamento correto dos cookies de sessão nas aplicações
Descrição: esta atualização resolve uma regressão não relacionada com segurança introduzida no Mac OS X 10.5.6. A CFNetwork poderá não guardar os cookies no disco se várias aplicações abertas tentarem definir cookies de sessão. Esta atualização corrige o problema, assegurando que cada aplicação armazena os respetivos cookies de sessão separadamente.
Certificate Assistant
ID CVE: CVE-2009-0011
Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: um utilizador local pode manipular ficheiros com os privilégios de outro utilizador que executa o Certificate Assistant (Assistente de Certificados)
Descrição: existe uma operação insegura sobre ficheiros no processamento de ficheiros temporários pelo Certificate Assistant. Isto poderá permitir que um utilizador local substitua ficheiros com os privilégios de outro utilizador que esteja a executar o Certificate Assistant. Esta atualização resolve o problema através do processamento melhorado de ficheiros temporários. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Agradecimentos: Apple.
ClamAV
ID CVE: CVE-2008-5050, CVE-2008-5314
Disponível para: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Impacto: várias vulnerabilidades no ClamAV 0.94
Descrição: existem várias vulnerabilidades no ClamAV 0.94, das quais a mais grave pode provocar a execução de código arbitrário. Esta atualização corrige os problemas através da atualização do ClamAV para a versão 0.94.2. O ClamAV é distribuído apenas com os sistemas Mac OS X Server. Estão disponíveis mais informações através do site do ClamAV, em http://www.clamav.net/
CoreText
ID CVE: CVE-2009-0012
Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: visualizar conteúdo Unicode concebido com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: poderá ser ultrapassado o limite máximo do buffer da área dinâmica para dados durante o processamento de cadeias de caracteres Unicode na CoreText. A utilização da CoreText para processar cadeias de caracteres Unicode concebidas com intuito malicioso, como, por exemplo, durante a visualização de uma página Web concebida com intuito malicioso, poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta atualização resolve o problema através da verificação melhorada dos limites. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Os nossos agradecimentos a Rosyna da Unsanity por comunicar este problema.
CUPS
ID CVE: CVE-2008-5183
Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: visitar um site concebido com intuito malicioso pode provocar o encerramento inesperado da aplicação
Descrição: exceder o número máximo de subscrições RSS resulta numa desreferenciação do ponteiro nulo na interface Web do CUPS. Isto poderá provocar o encerramento inesperado da aplicação ao visitar um site concebido com intuito malicioso. Para desencadear este problema, é necessário que o atacante conheça credenciais de utilizador válidas ou que estas se encontrem na memória cache do navegador do utilizador. O CUPS é automaticamente reiniciado após o desencadeamento deste problema. Esta atualização corrige o problema através do processamento correto do número de subscrições RSS. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5.
DS Tools
ID CVE: CVE-2009-0013
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: as palavras-passe fornecidas à dscl ficam expostas a outros utilizadores locais
Descrição: a ferramenta de linha de comandos dscl exigia que as palavras-passe lhes fossem comunicadas como argumentos, o que tem o potencial de as expor a outros utilizadores locais. As palavras-passe expostas incluem as de utilizadores e administradores. Esta atualização faz com que o parâmetro da palavra-passe seja opcional; a dscl pede a palavra-passe quando necessita dela. Crédito: Apple.
fetchmail
ID CVE: CVE-2007-4565, CVE-2008-2711
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: várias vulnerabilidades no fetchmail 6.3.8
Descrição: existem várias vulnerabilidades na versão 6.3.8 do fetchmail, das quais a mais grave poderá originar uma recusa de serviço. Esta atualização corrige os problemas através da atualização para a versão 6.3.9. Obtenha mais informações através do site do fetchmail em http://fetchmail.berlios.de/
Folder Manager
ID CVE: CVE-2009-0014
Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: outros utilizadores locais poderão aceder à pasta de descargas
Descrição: existe um problema de permissões predefinidas no Folder Manager (Gestor de Pastas). Quando um utilizador elimina a pasta de descargas (Downloads) e o Folder Manager volta a criá-la, a pasta é criada com permissões de leitura para todos. Esta atualização corrige o problema fazendo com que o Folder Manager limite as permissões, para que a pasta seja acessível apenas ao utilizador. Este problema afeta apenas as aplicações que utilizem o Folder Manager. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Os nossos agradecimentos a Graham Perrin da CENTRIM, Universidade de Brighton, por comunicar este problema.
FSEvents
ID CVE: CVE-2009-0015
Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: utilizando a estrutura FSEvents, um utilizador local poderá conseguir ver a atividade do sistema de ficheiros que, de outra forma, não estaria disponível
Descrição: existe um problema de gestão de credenciais em fseventsd. Utilizando a estrutura FSEvents, um utilizador local poderá conseguir ver a atividade do sistema de ficheiros que, de outra forma, não estaria disponível. Isto inclui o nome de um diretório que, de outra forma, o utilizador não conseguiria ver, e a deteção de atividade no diretório numa determinada altura. Esta atualização resolve o problema através da validação melhorada das credenciais em fseventsd. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Os nossos agradecimentos a Mark Dalrymple por comunicar este problema.
Network Time
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: a configuração do serviço Network Time (Hora da rede) foi atualizada
Descrição: como medida de segurança proativa, esta atualização altera a configuração predefinida do serviço de hora da rede. A informação da hora e da versão do sistema já não estará disponível na configuração predefinida de ntpd. Nos sistemas Mac OS X v10.4.11, a nova configuração entra em vigor após o reinício do sistema, quando o serviço de hora da rede é ativado.
perl
ID CVE: CVE-2008-1927
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: a utilização de expressões regulares que contenham caracteres UTF-8 poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existe um problema de corrupção de memória no processamento de determinados caracteres UTF-8 em expressões regulares. Analisar expressões regulares concebidas com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta atualização resolve o problema ao efetuar a validação adicional das expressões regulares.
Printing
ID CVE: CVE-2009-0017
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: um utilizador local pode obter privilégios de sistema
Descrição: existe um problema de processamento de erros no csregprinter, o que poderá fazer com que seja ultrapassado o limite máximo do buffer da área dinâmica para dados. Isto poderá permitir que um utilizador local obtenha privilégios de sistema. Esta atualização resolve o problema através do processamento melhorado de erros. Os nossos agradecimentos a Lars Haulin por comunicar este problema.
python
ID CVE: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: várias vulnerabilidades no python
Descrição: existem várias vulnerabilidades no python, das quais a mais grave pode provocar a execução de código arbitrário. Esta atualização resolve os problemas ao aplicar correções do projeto python.
Remote Apple Events
ID CVE: CVE-2009-0018
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: o envio de Remote Apple Events (Eventos Apple remotos) pode provocar a divulgação de informações confidenciais
Descrição: existe um problema de buffer não inicializado no servidor de eventos remotos Apple, o que poderá provocar a divulgação do conteúdo da memória a clientes na rede. Esta atualização resolve o problema através da inicialização correta da memória. Crédito: Apple.
Remote Apple Events
ID CVE: CVE-2009-0019
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: a ativação de Remote Apple Events (Eventos Apple remotos) poderá provocar o encerramento inesperado da aplicação ou a divulgação de informações confidenciais
Descrição: existe um acesso à memória fora do limites nos Remote Apple Events. A ativação de Remote Apple Events poderá provocar o encerramento inesperado da aplicação ou a divulgação de informações confidenciais a clientes na rede. Esta atualização resolve o problema através da verificação melhorada dos limites. Crédito: Apple.
Safari RSS
ID CVE: CVE-2009-0137
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: aceder a um URL de feed concebido com intuito malicioso pode causar a execução de código arbitrário
Descrição: existem múltiplos problemas de validação de entradas durante o processamento dos URL de feeds pelo Safari. Estes problemas permitem a execução de JavaScript arbitrário na zona de segurança local. Esta atualização corrige os problemas através de um processamento melhorado de JavaScript incorporado nos URL de feeds. Os nossos agradecimentos a Clint Ruoho da Laconic Security, Billy Rios da Microsoft e Brian Mastenbrook por comunicarem estes problemas.
servermgrd
ID CVE: CVE-2009-0138
Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: atacantes remotos poderão conseguir aceder ao Server Manager sem credenciais válidas
Descrição: um problema na validação de credenciais de autenticação do Server Manager poderia permitir a um atacante remoto alterar a configuração do sistema. Esta atualização resolve o problema através da validação adicional das credenciais de autenticação. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Agradecimentos: Apple.
SMB
ID CVE: CVE-2009-0139
Disponível para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: estabelecer ligação a um sistema de ficheiros SMB concebido com intuito malicioso poderá provocar o encerramento inesperado do sistema ou a execução de código arbitrário com privilégios de sistema
Descrição: uma ultrapassagem do limite máximo de números inteiros no sistema de ficheiros SMB pode fazer com que seja ultrapassado o limite máximo do buffer da área dinâmica para dados. Estabelecer ligação a um sistema de ficheiros SMB concebido com intuito malicioso poderá provocar o encerramento inesperado do sistema ou a execução de código arbitrário com privilégios de sistema. Esta atualização resolve o problema através da verificação melhorada dos limites. Este problema não afeta os sistemas anteriores ao Mac OS X v10.5. Agradecimentos: Apple.
SMB
ID CVE: CVE-2009-0140
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: estabelecer ligação a um servidor de ficheiros SMB concebido com intuito malicioso poderá provocar o encerramento inesperado do sistema
Descrição: existe um problema de esgotamento da memória durante o processamento de nomes de sistemas de ficheiros pelo sistema de ficheiros SMB. Estabelecer ligação a um servidor de ficheiros SMB concebido com intuito malicioso poderá provocar o encerramento inesperado do sistema. Esta atualização corrige o problema através da limitação da quantidade de memória atribuída pelo cliente para os nomes de sistemas de ficheiros. Crédito: Apple.
SquirrelMail
ID CVE: CVE-2008-2379, CVE-2008-3663
Disponível para: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Impacto: várias vulnerabilidades no SquirrelMail
Descrição: o SquirrelMail é atualizado para a versão 1.4.17 para resolver várias vulnerabilidades, das quais a mais grave poderia provocar um problema de execução de scripts entre sites. Estão disponíveis mais informações através do site do SquirrelMail, em http://www.SquirrelMail.org/
X11
ID CVE: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: várias vulnerabilidades no servidor X11
Descrição: existem várias vulnerabilidades no servidor X11. A mais grave dessas vulnerabilidades poderá provocar a execução de código arbitrário com os privilégios do utilizador que executa o servidor X11, se o atacante conseguir autenticar-se no servidor X11. Esta atualização resolve os problemas através da aplicação das correções atualizadas do X.Org. Estão disponíveis mais informações no site do X.Org, em http://www.x.org/wiki/Development/Security
X11
ID CVE: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Impacto: várias vulnerabilidades no FreeType v2.1.4
Descrição: existem várias vulnerabilidades no FreeType v2.1.4, das quais a mais grave pode levar à execução de código arbitrário durante o processamento de um tipo de letra concebido com intuito malicioso. Esta atualização resolve os problemas através da incorporação de correções de segurança da versão 2.3.6 do FreeType. Estão disponíveis mais informações através do site do FreeType, em http://www.freetype.org/ Os problemas já foram corrigidos nos sistemas que executam Mac OS X v10.5.6.
X11
ID CVE: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Impacto: várias vulnerabilidades na LibX11
Descrição: existem várias vulnerabilidades na LibX11, das quais a mais grave pode levar à execução de código arbitrário durante o processamento de um tipo de letra concebido com intuito malicioso. Esta atualização resolve os problemas através da aplicação das correções atualizadas do X.Org. Estão disponíveis mais informações através do site do X.Org, em http://www.x.org/wiki/Development/Security Estes problemas não afetam os sistemas que executam o Mac OS X v10.5 ou posterior.
XTerm
ID CVE: CVE-2009-0141
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: um utilizador local pode enviar informações diretamente para o Xterm de outro utilizador
Descrição: existe um problema de permissões no Xterm. Quando utilizado com luit, o Xterm cria dispositivos tty acessíveis a todos. Esta atualização corrige o problema, fazendo com que o Xterm limite as permissões de modo que os dispositivos tty sejam acessíveis apenas pelo utilizador.
Importante: a menção de sites e de produtos de terceiros destina-se apenas a efeitos de informação, e não constitui uma recomendação nem aprovação. A Apple não assume qualquer responsabilidade relativamente à seleção, desempenho ou utilização de informações ou produtos encontrados em sites de terceiros. A Apple fornece estas informações apenas como comodidade para os nossos utilizadores. A Apple não testou as informações encontradas nestes sites e não garante a respetiva precisão ou fiabilidade. Existem riscos inerentes à utilização de quaisquer informações ou produtos encontrados na Internet e a Apple não assume qualquer responsabilidade a este respeito. Tenha em atenção que um site de terceiros é independente da Apple e que a Apple não tem controlo sobre os conteúdos do respetivo site. Contacte o fornecedor para obter mais informações.