Acerca dos conteúdos de segurança da Atualização de segurança 2010-002/Mac OS X v10.6.3
Este documento descreve os conteúdos de segurança da Atualização de segurança 2010-002/Mac OS X v10.6.3.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo ""Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
Atualização de segurança 2010-002/Mac OS X v10.6.3
AppKit
ID CVE: CVE-2010-0056
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: corrigir a ortografia de um documento criado com intuito malicioso poderá provocar o encerramento inesperado da app ou a execução de um código arbitrário.
Descrição: existe um excesso do limite do buffer na funcionalidade de correção ortográfica utilizada por aplicações Cocoa. Corrigir a ortografia de um documento criado com intuito malicioso poderá provocar o encerramento inesperado da app ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada dos limites. Este problema não afeta sistemas Mac OS X v10.6. Crédito: Apple.
Application Firewall
ID CVE: CVE-2009-2801
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: algumas regras da Application Firewall podem ficar inativas após reiniciar
Descrição: um problema de temporização na Application Firewall pode fazer com que algumas regras fiquem inativas após reiniciar. Este problema foi resolvido através do processamento melhorado das regras da Firewall. Este problema não afeta sistemas Mac OS X v10.6. Os nossos agradecimentos a Michael Kisor da OrganicOrb.com por ter comunicado este problema.
AFP Server
ID CVE: CVE-2010-0057
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: quando o acesso de convidado está desativado, um utilizador remoto pode conseguir acumular partilhas AFP como convidado
Descrição: um problema de controlo de acesso no AFP Server pode permitir a um utilizador remoto acumular partilhas AFP como convidado, mesmo que o acesso de convidado esteja desativado. Este problema foi resolvido através de uma melhoria na verificação do controlo de acesso. Crédito: Apple.
AFP Server
ID CVE: CVE-2010-0533
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: um utilizador remoto com acesso de convidado a uma partilha AFP poderá aceder a conteúdos de ficheiros legíveis universalmente fora da partilha Pública
Descrição: existe um problema relacionado com a transversalidade dos diretórios na validação do caminho das partilhas AFP. Um utilizador remoto pode enumerar o diretório principal da raiz de partilha e ler ou escrever ficheiros desse diretório que estejam acessíveis ao utilizador "ninguém". Este problema foi resolvido através do processamento melhorado dos caminhos de ficheiros. Os nossos agradecimentos a Patrik Karlsson da cqure.net por ter comunicado este problema.
Apache
ID CVE: CVE-2009-3095
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: um atacante remoto poderá conseguir ignorar as restrições de acesso
Descrição: existe um problema de validação de entrada no processamento de pedidos de proxy FTP do Apache. Um atacante remoto com a capacidade de enviar pedidos através do proxy poderá ser capaz de ignorar as restrições de controlo de acesso especificadas na configuração do Apache. Este problema foi resolvido com a atualização do Apache para a versão 2.2.14.
ClamAV
ID CVE: CVE-2010-0058
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: as definições de vírus ClamAV poderão não receber atualizações
Descrição: um problema de configuração introduzido na Atualização de segurança 2009-005 impede a execução do freshclam. Isto pode impedir que as definições de vírus sejam atualizadas. Este problema foi resolvido ao atualizar os valores de chave ProgramArguments da plist launchd do freshclam. Este problema não afeta sistemas Mac OS X v10.6. Os nossos agradecimentos a Bayard Bell, Wil Shipley da Delicious Monster, e David Ferrero da Zion Software, LLC, por terem comunicado este problema.
CoreAudio
ID CVE: CVE-2010-0059
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: reproduzir conteúdo de áudio criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de corrupção da memória no processamento de conteúdo de áudio com codificação QDM2. Reproduzir conteúdo de áudio criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada dos limites. Os nossos agradecimentos a um investigador anónimo, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.
CoreAudio
ID CVE: CVE-2010-0060
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: reproduzir conteúdo de áudio criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de corrupção da memória no processamento de conteúdo de áudio com codificação QDMC. Reproduzir conteúdo de áudio criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada dos limites. Os nossos agradecimentos a um investigador anónimo, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.
CoreAudio
ID CVE: CVE-2010-0062
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe uma ultrapassagem do limite máximo do buffer da pilha no processamento de ficheiros de filme com codificação H.263. Visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da validação adicional dos ficheiros de filme com codificação H.263. Os nossos agradecimentos a Damian Put e a um investigador anónimo, em colaboração com o programa Zero Day Initiative da TippingPoint, por terem comunicado este problema.
CoreTypes
ID CVE: CVE-2010-0063
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: os utilizadores não são avisados antes de abrirem determinados tipos de conteúdo potencialmente inseguros.
Descrição: esta atualização adiciona os ficheiros .ibplugin e .url à lista do sistema de tipos de conteúdo assinalados como potencialmente perigosos em determinadas circunstâncias, como, por exemplo, quando são descarregados de uma página da Web. Embora estes tipos de conteúdo não sejam lançados automaticamente, se forem abertos manualmente, poderão levar à execução de uma carga útil JavaScript maliciosa ou à execução de código arbitrário. Esta atualização melhora a capacidade do sistema de notificar os utilizadores antes de manusear os tipos de conteúdo utilizados pelo Safari. Crédito de Clint Ruoho da Laconic Security por comunicar este problema.
CUPS
ID CVE: CVE-2010-0393
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: um utilizador local poderá conseguir obter privilégios do sistema
Descrição: existe um problema no formato da cadeia no utilitário lppasswd CUPS. Isto poderá permitir que um utilizador local obtenha privilégios de sistema. Os sistemas Mac OS X v10.6 só são afetados se o bit setuid tiver sido configurado no binário. Este problema foi resolvido ao utilizar diretórios predefinidos ao executar como um processo setuid. Os nossos agradecimentos Ronald Volgers por ter comunicado este problema.
curl
ID CVE: CVE-2009-2417
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: Um atacante “man-in-the-middle” pode conseguir fazer-se passar por um servidor fidedigno
Descrição: existe um problema de colocação em forma canónica no processamento do curl de carateres NULL no campo Common Name (CN) do assunto de certificados X.509. Isto pode originar ataques "man-in-the-middle" contra utilizadores da ferramenta da linha de comandos curl, ou aplicações que utilizem libcurl. Este problema foi resolvido através do processamento melhorado de carateres NULL.
curl
ID CVE: CVE-2009-0037
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: utilizar o curl com -L pode permitir a um atacante remoto ler ou escrever ficheiros locais
Descrição: o curl irá seguir os redirecionamentos HTTP ou HTTPS quando é utilizado com a opção -L. Quando o curl segue um redirecionamento, permite URL file://. Isto pode permitir que um atacante remoto aceda a ficheiros locais. O problema foi resolvido através da validação melhorada dos redirecionamentos. Este problema não afeta sistemas Mac OS X v10.6. Os nossos agradecimentos a Daniel Stenberg da Haxx AB por ter comunicado este problema.
Cyrus IMAP
ID CVE: CVE-2009-2632
Disponível para: Mac OS X Server v10.5.8
Impacto: um utilizador local poderá conseguir obter privilégios de um utilizador Cyrus
Descrição: existe um problema de ultrapassagem do limite máximo do buffer de scripts sieve. Ao executar um script sieve com intuito malicioso, um utilizador local poderá conseguir obter privilégios de um utilizador Cyrus. Este problema foi resolvido através da verificação melhorada dos limites. Este problema não afeta sistemas Mac OS X v10.6.
Cyrus SASL
ID CVE: CVE-2009-0688
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: um atacante remoto não autenticado poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de ultrapassagem do limite máximo do buffer no módulo de autenticação Cyrus SASL. Utilizar a autenticação Cyrus SASL pode provocar um encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada dos limites. Este problema não afeta sistemas Mac OS X v10.6.
DesktopServices
ID CVE: CVE-2010-0064
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: pode ser atribuído um proprietário do ficheiro inesperado aos elementos copiados no Finder
Descrição: ao executar uma cópia autenticada no Finder, a propriedade original do ficheiro pode ser copiada inesperadamente. Esta atualização resolve o problema ao garantir que os ficheiros copiados pertencem ao utilizador que está a executar a cópia. Este problema não afeta os sistemas anteriores ao Mac OS X v10.6. Os nossos agradecimentos a Gerrit DeWitt da Universidade de Auburn (Auburn, AL) por ter comunicado este problema.
DesktopServices
ID CVE: CVE-2010-0537
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: um atacante remoto poderá obter acesso a dados do utilizador através de um ataque em várias fases
Descrição: um problema de resolução de caminhos no DesktopServices está vulnerável a um ataque em várias fases. Em primeiro lugar, um atacante remoto tem de aliciar o utilizador a acumular uma partilha nomeada arbitrariamente, o que pode ser feito através de um esquema URL. Ao guardar um ficheiro através do painel para guardar predefinido em qualquer aplicação, e utilizando a opção "Ir para a pasta" ou arrastando pastas para o painel para guardar, os dados podem ser guardados de forma inesperada na partilha maliciosa. Este problema foi resolvido através de uma resolução melhorada do caminho. Este problema não afeta os sistemas anteriores ao Mac OS X v10.6. Os nossos agradecimentos a Sidney San Martin da DeepTech, Inc. por ter comunicado este problema.
Disk Images
ID CVE: CVE-2010-0065
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: montar uma imagem de disco criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários
Descrição: existem vários problemas de corrupção da memória no processamento de imagens de disco comprimidas bzip2. Montar uma imagem de disco criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários. Este problema foi resolvido através da verificação melhorada dos limites. Crédito: Apple.
Disk Images
ID CVE: CVE-2010-0497
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: montar uma imagem de disco criada com intuito malicioso poderá provocar a execução de códigos arbitrários
Descrição: existe um problema de conceção no processamento de imagens de disco com ativação de Internet. Montar uma imagem de disco com ativação de Internet que contém um tipo de ficheiro de pacote vai abri-la, em vez de a apresentar no Finder. Esta funcionalidade de quarentena dos ficheiros ajuda a mitigar este problema ao apresentar uma caixa de diálogo de aviso para tipos de ficheiros inseguros. Este problema foi resolvido através do processamento melhorado dos tipos de ficheiros do pacote em imagens de disco com ativação de Internet. Os nossos agradecimentos a Brian Mastenbrook, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.
Directory Services
ID CVE: CVE-2010-0498
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: um utilizador local poderá obter privilégios do sistema
Descrição: um problema de autorização no processamento do Directory Services de nomes de registos pode permitir a um utilizador local obter privilégios do sistema. Este problema foi resolvido através de verificações de autorização melhoradas. Crédito: Apple.
Dovecot
ID CVE: CVE-2010-0535
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: um utilizador autenticado poderá conseguir enviar e receber e-mails mesmo se o utilizador não estiver na SACL de utilizadores com permissão para o fazer
Descrição: existe um problema de controlo de acesso no Dovecot quando a autenticação Kerberos está ativada. Isto poderá permitir que um utilizador autenticado envie e receba e-mails mesmo que o utilizador não esteja na lista de controlo de acesso de serviço (SACL) de utilizadores com permissão para o fazer. Este problema foi resolvido através de uma melhoria na verificação do controlo de acesso. Este problema não afeta os sistemas anteriores ao Mac OS X v10.6.
Event Monitor
ID CVE: CVE-2010-0500
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: um atacante remoto pode fazer com que sistemas arbitrários sejam adicionados à lista de bloqueio da firewall
Descrição: é executada uma pesquisa DNS inversa em clientes ssh remotos que não é possível autenticar. Existe um problema de injeção da plist no processamento de nomes DNS resolvidos. Isto pode permitir a um atacante remoto fazer com que sistemas arbitrários sejam adicionados à lista de bloqueio da firewall. O problema foi resolvido introduzindo os carateres de escape necessários nos nomes DNS resolvidos. Crédito: Apple.
FreeRADIUS
ID CVE: CVE-2010-0524
Disponível para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 até v10.6.2
Impacto: um atacante remoto pode aceder a uma rede através da autenticação RADIUS
Descrição: existe um problema de autenticação do certificado na configuração Mac OS X predefinida do servidor FreeRADIUS. Um atacante remoto pode utilizar EAP-TLS com um certificado válido arbitrário para autenticar e se ligar a uma rede configurada para utilizar o FreeRADIUS para autenticação. Este problema foi resolvido ao desativar o suporte de EAP-TLS na configuração. Os clientes RADIUS devem utilizar EAP-TTLS. Este problema afeta apenas os sistemas com Mac OS X Server. Os nossos agradecimentos a Chris Linstruth da Qnet por ter comunicado este problema.
FTP Server
ID CVE: CVE-2010-0501
Disponível para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 até v10.6.2
Impacto: os utilizadores podem ser capazes de recuperar ficheiros fora do diretório raiz do FTP
Descrição: existe um problema transversal ao diretório no FTP Server. Isto pode permitir a um utilizador recuperar ficheiros fora do diretório raiz do FTP. Este problema foi resolvido através do processamento melhorado dos nomes de ficheiros. Este problema afeta apenas os sistemas com Mac OS X Server. Crédito: Apple.
iChat Server
ID CVE: CVE-2006-1329
Disponível para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 até v10.6.2
Impacto: um atacante remoto pode conseguir causar uma recusa de serviço
Descrição: existe um problema de implementação no processamento do jabberd da negociação SASL. Um atacante remoto poderá conseguir terminar a operação do jabberd. Este problema foi resolvido através do processamento melhorado da negociação SASL. Este problema afeta apenas os sistemas com Mac OS X Server.
iChat Server
ID CVE: CVE-2010-0502
Disponível para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 até v10.6.2
Impacto: as mensagens da conversa podem não ser registadas
Descrição: existe um problema de conceção no suporte do iChat Server para o registo de conversas de grupo configuráveis. O iChat Server apenas regista mensagens com determinados tipos de mensagens. Isto pode permitir a um utilizador remoto enviar uma mensagem através do servidor sem que esta seja registada. O problema foi resolvido ao remover a capacidade de desativar registos de conversas de grupo e registando todas as mensagens que são enviadas através do servidor. Este problema afeta apenas os sistemas com Mac OS X Server. Crédito: Apple.
iChat Server
ID CVE: CVE-2010-0503
Disponível para: Mac OS X Server v10.5.8
Impacto: um utilizador autenticado pode conseguir provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.
Descrição: existe um problema de "use after free" (utilização após libertação de memória) no iChat Server. Um utilizador autenticado pode conseguir causar o encerramento inesperado de aplicações ou a execução de código arbitrário. Este problema foi resolvido através do controlo da referência de memória melhorado. Este problema afeta apenas os sistemas com Mac OS X Server, não afeta as versões 10.6 ou posteriores.
iChat Server
ID CVE: CVE-2010-0504
Disponível para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 até v10.6.2
Impacto: um utilizador autenticado pode conseguir provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.
Descrição: existem vários problemas de ultrapassagem do limite máximo do buffer no iChat Server. Um utilizador autenticado pode conseguir causar o encerramento inesperado de aplicações ou a execução de código arbitrário. Estes problemas foram resolvidos através da gestão melhorada da memória. Estes problemas afetam apenas os sistemas Mac OS X Server. Crédito: Apple.
ImageIO
ID CVE: CVE-2010-0505
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar uma imagem JP2 criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários
Descrição: existe uma ultrapassagem do limite máximo do buffer da pilha no processamento de imagens JP2. Visualizar uma imagem JP2 criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada dos limites. Os nossos agradecimentos a Chris Ries dos Computing Services da Universidade Carnegie Mellon e ao investigador "85319bb6e6ab398b334509c50afce5259d42756e", em colaboração com o programa Zero Day Initiative da TippingPoint, por terem comunicado este problema.
ImageIO
ID CVE: CVE-2010-0041
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visitar um site criado com intuito malicioso poderá provocar o envio de dados da memória do Safari para o site
Descrição: existe um problema de acesso à memória não inicializada no processamento de imagens BMP do ImageIO. Visitar um site criado com intuito malicioso poderá provocar o envio de dados da memória do Safari para o site. Este problema foi resolvido através da inicialização melhorada da memória e da validação adicional de imagens BMP. Os nossos agradecimentos a Matthew "j00ru" Jurczyk da Hispasec por ter comunicado este problema.
ImageIO
ID CVE: CVE-2010-0042
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visitar um site criado com intuito malicioso poderá provocar o envio de dados da memória do Safari para o site
Descrição: existe um problema de acesso à memória não inicializada no processamento de imagens TIFF do ImageIO. Visitar um site criado com intuito malicioso poderá provocar o envio de dados da memória do Safari para o site. Este problema foi resolvido através da inicialização melhorada da memória e da validação adicional de imagens TIFF. Os nossos agradecimentos a Matthew "j00ru" Jurczyk da Hispasec por ter comunicado este problema.
ImageIO
ID CVE: CVE-2010-0043
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: processar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de corrupção da memória no processamento de imagens TIFF. Processar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através do processamento melhorado da memória. Este problema não afeta os sistemas anteriores ao Mac OS X v10.6. Os nossos agradecimentos a Gus Mueller da Flying Meat por ter comunicado este problema.
Image RAW
ID CVE: CVE-2010-0506
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: visualizar uma imagem NEF criada com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários
Descrição: existe uma ultrapassagem do limite máximo do buffer no processamento de imagens NEF por parte de Image RAW. Visualizar uma imagem NEF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada dos limites. Este problema não afeta sistemas Mac OS X v10.6. Crédito: Apple.
Image RAW
ID CVE: CVE-2010-0507
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar uma imagem PEF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários
Descrição: existe uma ultrapassagem do limite máximo do buffer no processamento de imagens PEF por parte de Image RAW. Visualizar uma imagem PEF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada dos limites. Os nossos agradecimentos a Chris Ries dos Computing Services da Universidade Carnegie Mellon por ter comunicado este problema.
Libsystem
ID CVE: CVE-2009-0689
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: as aplicações que convertem dados não fidedignos entre um ponto flutuante binário e texto podem estar vulneráveis a um encerramento inesperado da aplicação ou à execução de código arbitrário
Descrição: existe uma ultrapassagem do limite máximo do buffer no código de conversão de binário do ponto flutuante e texto no Libsystem. Um atacante que consegue fazer com que uma aplicação converta um valor de ponto flutuante numa sequência longa, ou que analise uma sequência criada com intuito malicioso como um valor de ponto flutuante, poderá conseguir causar um encerramento inesperado da aplicação ou a execução de códigos arbitrários. Este problema foi resolvido através da verificação melhorada dos limites. Os nossos agradecimentos a Maksymilian Arciemowicz da SecurityReason.com por ter comunicado este problema.
Mail
ID CVE: CVE-2010-0508
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: regras associadas a uma conta de e-mail eliminada permanecem em vigor
Descrição: quando uma conta de e-mail é eliminada, as regras de filtragem definidas pelo utilizados associadas à conta permanecem em vigor. Isto pode resultar em ações inesperadas. O problema foi resolvido ao desativar as regras associadas quando uma conta de e-mail é desativada.
Mail
ID CVE: CVE-2010-0525
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: o Mail poderá utilizar uma chave de encriptação mais fraca para o envio de correio
Descrição: existe um problema de lógica no processamento de certificados de encriptação do Mail. Quando existem vários certificados para o destinatário no porta-chaves, o Mail pode selecionar uma chave de encriptação que não foi concebida para cifragem. Isto pode causar um problema de segurança se a chave escolhida for mais fraca do que o esperado. O problema foi resolvido ao garantir que a extensão de utilização da chave nos certificados é avaliada ao selecionar a chave de encriptação do e-mail. Os nossos agradecimento a Paul Suh da ps Enable, Inc. por ter comunicado este problema.
Mailman
ID CVE: CVE-2008-0564
Disponível para: Mac OS X Server v10.5.8
Impacto: várias vulnerabilidades no Mailman 2.1.9
Descrição: existem vários problemas de emissão de scripts entre sites no Mailman 2.1.9. Estes problemas foram resolvidos ao atualizar o Mailman para a versão 2.1.13. Estão disponíveis mais informações no site do Mailman em http://mail.python.org/pipermail/mailman-announce/2009-January/000128.html Estes problemas afetam apenas os sistemas com Mac OS X e não afetam as versões 10.6 ou posteriores.
MySQL
ID CVE: CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030
Disponível para: Mac OS X Server v10.6 até v10.6.2
Impacto: várias vulnerabilidades no MySQL 5.0.82
Descrição: o MySQL é atualizado para a versão 5.0.88 com vista a corrigir diversas vulnerabilidades, a mais grave das quais pode provocar a execução de códigos arbitrários. Estes problemas afetam apenas os sistemas Mac OS X Server. Estão disponíveis mais informações no site do MySQL em http://dev.mysql.com/doc/refman/5.0/en/news-5-0-88.html
OS Services
ID CVE: CVE-2010-0509
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: um utilizador local poderá conseguir obter privilégios elevados
Descrição: existe um problema de reencaminhamento de privilégio no SFLServer, uma vez que este é executado como "wheel" do grupo e acede a ficheiros nos diretórios pessoais dos utilizadores. Este problema foi resolvido através da gestão melhorada da autorização. Os nossos agradecimentos a Kevin Finisterre da DigitalMunition por ter comunicado este problema.
Password Server
ID CVE: CVE-2010-0510
Disponível para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 até v10.6.2
Impacto: um atacante remoto pode conseguir iniciar sessão com uma palavra-passe desatualizada
Descrição: existe um problema de implementação no processamento da replicação de Password Server que pode fazer com que as palavras-passe não sejam replicadas. Um atacante remoto pode conseguir iniciar sessão com uma palavra-passe-desatualizada. Este problema foi resolvido através do processamento melhorado da replicação da palavra-passe. Este problema afeta apenas os sistemas com Mac OS X Server. Os nossos agradecimentos a Jack Johnson do agrupamento escolar de Anchorage por ter comunicado este problema.
perl
ID CVE: CVE-2008-5302, CVE-2008-5303
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: um utilizador local pode originar a eliminação de ficheiros arbitrários
Descrição: existem vários problemas de condição de disputa na função rmtree do módulo perl File::Path. Um utilizador local com acesso de escrita ao diretório que está a ser eliminado pode causar a remoção de ficheiros arbitrários com os privilégios do processo perl. Este problema foi resolvido através de um processamento melhorado das ligações simbólicas. Este problema não afeta sistemas Mac OS X v10.6.
PHP
ID CVE: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4017
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: várias vulnerabilidades no PHP 5.3.0
Descrição: o PHP é atualizado para a versão 5.3.1 com vista a corrigir diversas vulnerabilidades, a mais grave das quais pode provocar a execução de códigos arbitrários. Estão disponíveis mais informações no site do PHP em http://www.php.net/
PHP
ID CVE: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4142, CVE-2009-4143
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: várias vulnerabilidades no PHP 5.2.11
Descrição: o PHP é atualizado para a versão 5.2.12 com vista a corrigir diversas vulnerabilidades, a mais grave das quais pode provocar a emissão de scripts entre sites. Estão disponíveis mais informações no site do PHP em http://www.php.net/
Podcast Producer
ID CVE: CVE-2010-0511
Disponível para: Mac OS X Server v10.6 até v10.6.2
Impacto: um utilizador não autorizado poderá conseguir aceder a um processo do Podcast Composer
Descrição: quando um processo do Podcast Composer é substituído, as restrições de acesso são removidas. Isto poderá permitir a um utilizador não autorizado aceder ao processo do Poscast Composer. Este problema foi resolvido através do processamento melhorado das restrições de acesso ao processo. O Podcast Composer foi introduzido no Mac OS X Server v10.6.
Preferences
ID CVE: CVE-2010-0512
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: um utilizador da rede poderá ser capaz de contornar as restrições de início de sessão do sistema
Descrição: existe um problema de implementação no processamento das restrições de início de sessão de contas da rede. Se as contas da rede com permissão para iniciar sessão no sistema na janela de início de sessão forem identificadas apenas por adesão a grupos, a restrição não será aplicada e será permitido a todos os utilizadores da rede iniciar sessão no sistema. O problema foi resolvido através de melhorias na gestão da restrição de grupo no painel de preferências das Contas. Este problema apenas afeta sistemas configurados para utilizar um servidor de conta em rede e não afeta os sistemas anteriores ao Mac OS X v10.6. Os nossos agradecimentos a Christopher D. Grieb da Universidade de Michigan MSIS por ter comunicado este problema.
PS Normalizer
ID CVE: CVE-2010-0513
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar um ficheiro PostScript criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários
Descrição: existe uma ultrapassagem do limite máximo do buffer no processamento de ficheiros PostScript. Ver um ficheiro do PostScript criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema foi resolvido através da validação adicional dos ficheiros PostScript. Em sistemas Mac OS X v10.6, este problema é mitigado pelo marcador de complicação -fstack-protector. Crédito: Apple.
QuickTime
ID CVE: CVE-2010-0062
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe uma ultrapassagem do limite máximo do buffer da pilha no processamento de ficheiros de filme com codificação H.263 do QuickTime. Visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da validação adicional dos ficheiros de filme com codificação H.263. Os nossos agradecimentos a Damian Put e a um investigador anónimo, em colaboração com o programa Zero Day Initiative da TippingPoint, por terem comunicado este problema.
QuickTime
ID CVE: CVE-2010-0514
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe uma ultrapassagem do limite máximo do buffer da pilha no processamento de ficheiros de filme com codificação H.261. Visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da validação adicional dos ficheiros de filme com codificação H.261. Gostaríamos de agradecer a Will Dormann da CERT/CC por ter comunicado este problema.
QuickTime
ID CVE: CVE-2010-0515
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de corrupção de memória no processamento de ficheiros de filme com codificação H.264. Visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da validação adicional dos ficheiros de filme com codificação H.264. Os nossos agradecimentos a um investigador anónimo, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.
QuickTime
ID CVE: CVE-2010-0516
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe uma ultrapassagem do limite máximo do buffer da pilha no processamento de ficheiros de filme com codificação RLE. Visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da validação adicional dos ficheiros de filme com codificação RLE. Os nossos agradecimentos a um investigador anónimo, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.
QuickTime
ID CVE: CVE-2010-0517
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe uma ultrapassagem do limite máximo do buffer da pilha no processamento de ficheiros de filme com codificação M-JPEG. Visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da validação adicional dos ficheiros de filme com codificação M-JPEG. Os nossos agradecimentos a Damian Put e a um investigador anónimo, em colaboração com o programa Zero Day Initiative da TippingPoint, por terem comunicado este problema.
QuickTime
ID CVE: CVE-2010-0518
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de corrupção de memória no processamento de ficheiros de filme com codificação Sorenson. Visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da validação adicional dos ficheiros de filme com codificação Sorenson. Gostaríamos de agradecer a Will Dormann da CERT/CC por ter comunicado este problema.
QuickTime
ID CVE: CVE-2010-0519
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe uma ultrapassagem do limite máximo de números inteiros no processamento de ficheiros de filme com codificação FlashPix. Visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada dos limites. Os nossos agradecimentos a um investigador anónimo, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.
QuickTime
ID CVE: CVE-2010-0520
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe uma ultrapassagem do limite máximo do buffer da pilha no processamento de ficheiros de filme com codificação FLC. Visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da validação adicional dos ficheiros de filme com codificação FLC. Os nossos agradecimentos a Moritz Jodeit da n.runs AG, em colaboração com o programa Zero Day Initiative da TippingPoin, e Nicolas Joly da VUPEN Security por terem comunicado este problema.
QuickTime
ID CVE: CVE-2010-0526
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar um ficheiro MPEG criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe uma ultrapassagem do limite máximo do buffer da pilha no processamento de ficheiros de filme com codificação MPEG. Visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da validação adicional dos ficheiros de filme com codificação MPEG. Os nossos agradecimentos a um investigador anónimo, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.
Ruby
ID CVE: CVE-2009-2422, CVE-2009-3009, CVE-2009-4214
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: vários problemas no Ruby on Rails
Descrição: existem várias vulnerabilidades no Ruby on Rails, a mais séria das quais pode levar à emissão de scripts entre sites. Em sistemas Mac OS X v10.6, estes problemas foram resolvidos ao atualizar o Ruby on Rails para a versão 2.3.5. Os sistemas Mac OS X v10.5 são afetados apenas pelo CVE-2009-4214 e este problema foi resolvido através de melhoras na validação de argumentos em strip_tags.
Ruby
ID CVE: CVE-2009-1904
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: executar um script Ruby que utiliza dados de entrada não fidedignos para inicializar um objeto BigDecimal pode originar um encerramento inesperado da aplicação
Descrição: existe um problema de esgotamento da pilha no processamento do Ruby de objetos BigDecimal com valores muito elevados. Executar um script Ruby que utiliza dados de entrada não fidedignos para inicializar um objeto BigDecimal pode levar a um encerramento inesperado da aplicação. Para sistemas Mac OS X v10.6, este problema foi resolvido ao atualizar o Ruby para a versão 1.8.7-p173. Para sistemas Mac OS X v10.5, este problema foi resolvido ao atualizar o Ruby para a versão 1.8.6-p369.
Server Admin
ID CVE: CVE-2010-0521
Disponível para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 até v10.6.2
Impacto: um atacante remoto pode conseguir extrair informação do Open Directory
Descrição: existe um problema de conceção no processamento de ligações do diretório autenticadas. Um atacante remoto pode conseguir extrair informação do Open Directory anonimamente, mesmo se a opção "Exigir ligação autenticada entre diretório e clientes" estiver ativada. Este problema foi resolvido ao remover esta opção de configuração. Este problema afeta apenas os sistemas com Mac OS X Server. Os nossos agradecimento a Scott Gruby da Gruby Solutions e Mathias Haack da GRAVIS Computervertriebsgesellschaft mbH por terem comunicado este problema.
Server Admin
ID CVE: CVE-2010-0522
Disponível para: Mac OS X Server v10.5.8
Impacto: um antigo administrador pode ter acesso não autorizado à partilha de ecrã
Descrição: um utilizador que foi removido do grupo "admin" pode continuar a conseguir ligar-se ao servidor através da partilha de ecrã. Este problema foi resolvido através do processamento melhorado dos privilégios do administrador. Este problema afeta apenas os sistemas com Mac OS X Server, não afeta as versões 10.6 ou posteriores. Crédito: Apple.
SMB
ID CVE: CVE-2009-2906
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: um atacante remoto poderá conseguir causar a recusa de serviço
Descrição: existe um loop infinito no processamento de notificações de interrupção "oplock" SMB por parte do Samba. Um atacante remoto pode ser capaz de acionar um loop infinito no smbd, causando um consumo excessivo de recursos da CPU. Este problema foi resolvido através do processamento melhorado das notificações de interrupção "oplock".
Tomcat
ID CVE: CVE-2009-0580, CVE-2009-0033, CVE-2009-0783, CVE-2008-5515, CVE-2009-0781, CVE-2009-2901, CVE-2009-2902, CVE-2009-2693
Disponível para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 até v10.6.2
Impacto: várias vulnerabilidades no Tomcat 6.0.18
Descrição: o Tomcat é atualizado para a versão 6.0.24 com vista a corrigir diversas vulnerabilidades, a mais grave das quais pode provocar a emissão de scripts entre sites. O Tomcat apenas é fornecido nos sistemas Mac OS X Server. Estão disponíveis mais informações no site do Tomcat em http://tomcat.apache.org/
unzip
ID CVE: CVE-2008-0888
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: extrair ficheiros zip criados com intuito malicioso através da ferramenta de extração poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição. existe um problema no apontador de objetos não inicializado no processamento de ficheiros zip. Extrair ficheiros zip criados com intuito malicioso através da ferramenta de comando de extração poderá provocar o encerramento inesperado da aplicação ou execução de um código arbitrário. Este problema foi resolvido através da validação adicional dos ficheiros zip. Este problema não afeta sistemas Mac OS X v10.6.
vim
ID CVE: CVE-2008-2712, CVE-2008-4101, CVE-2009-0316
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: várias vulnerabilidades no vim 7.0
Descrição: existem várias vulnerabilidades no vim 7.0, a mais séria das quais pode originar a execução de um código arbitrário ao processar ficheiros criados com intuito malicioso. Estes problemas foram resolvidos ao atualizar para o vim 7.2.102. Estes problemas não afetam os sistemas Mac OS X v10.6. Estão disponíveis mais informações no website do vim em http://www.vim.org/
Wiki Server
ID CVE: CVE-2010-0523
Disponível para: Mac OS X Server v10.5.8
Impacto: carregar um applet criado com intuito malicioso pode levar à divulgação de informações sensíveis
Descrição: o Wiki Server permite aos utilizadores carregarem conteúdo ativo, como applets Java. Um atacante remoto pode obter informações sensíveis ao carregar um applet criado com intuito malicioso e ao direcionar um utilizador do Wiki Server para o consultar. Este problema foi resolvido através da utilização de um cookie de autenticação de utilização única especial que só é utilizado para descarregar um anexo em particular. Este problema afeta apenas os sistemas com Mac OS X Server, não afeta as versões 10.6 ou posteriores.
Wiki Server
ID CVE: CVE-2010-0534
Disponível para: Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: um utilizador autenticado pode contornar as restrições de criação do weblog
Descrição: o Wiki Server suposta listas de controlo de acesso de serviço (SACL), o que permite ao administrador controlar a publicação de conteúdo. O Wiki Server falha ao consultar a SACL do weblog durante a criação do weblog de um utilizador. Isto pode permitir a um utilizador autenticado publicar conteúdo no Wiki Server, mesmo que a publicação não devesse ser permitida pelo ACL do serviço. Este problema não afeta os sistemas anteriores ao Mac OS X v10.6.
X11
ID CVE: CVE-2009-2042
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: visualizar uma imagem criada com intuito malicioso pode levar à divulgação de informação sensível
Descrição: o libpng foi atualizado para a versão 1.2.37 para resolver um problema que pode resultar na divulgação de informação sensível. Estão disponíveis mais informações no site do libpng em http://www.libpng.org/pub/png/libpng.html
X11
ID CVE: CVE-2003-0063
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 até v10.6.2, Mac OS X Server v10.6 até v10.6.2
Impacto: apresentar dados criados com intuito malicioso num terminal xterm pode provocar a execução de códigos arbitrários
Descrição: o programa xterm suporta uma sequência de comandos para fazer alterações numa janela e para imprimir a janela no terminal. As informações devolvidas são fornecidas ao terminal como se fossem uma entrada por teclado por parte de um utilizador. Num terminal xterm, apresentar dados criados com intuito malicioso com essas sequências pode resultar na injeção de comandos. Este problema foi resolvido ao desativar a sequência de comando afetada.
xar
ID CVE: CVE-2010-0055
Disponível para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: um pacote modificado poderá aparecer como estando assinado de forma válida
Descrição: existe um problema de conceção no xar ao validar a assinatura de um pacote. Isto permite que um pacote modificado apareça como estando assinado de forma válida. Este problema foi resolvido através de melhorias na validação da assinatura do pacote. Este problema não afeta sistemas Mac OS X v10.6. Crédito: Apple.
Importante: a menção de sites e de produtos de terceiros destina-se apenas a efeitos de informação, e não constitui uma recomendação nem aprovação. A Apple não assume qualquer responsabilidade relativamente à seleção, desempenho ou utilização de informações ou produtos encontrados em sites de terceiros. A Apple fornece estas informações apenas como comodidade para os nossos utilizadores. A Apple não testou as informações encontradas nestes sites e não garante a respetiva precisão ou fiabilidade. Existem riscos inerentes à utilização de quaisquer informações ou produtos encontrados na Internet e a Apple não assume qualquer responsabilidade a este respeito. Tenha em atenção que um site de terceiros é independente da Apple e que a Apple não tem controlo sobre os conteúdos do respetivo site. Contacte o fornecedor para obter mais informações.