Este documento descreve os conteúdos de segurança do OS X Lion v10.7.2 e da Actualização de segurança 2011-006, que podem ser descarregados e instalados através da Actualização de software ou a partir das Descargas da Apple.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações acerca da chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.


OS X Lion v10.7.2 e Actualização de segurança 2011-006
- 

- 

Apache

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: várias vulnerabilidades no Apache

Descrição: o Apache é atualizado para a versão 2.2.20 para resolver várias vulnerabilidades, a mais grave das quais poderá levar à recusa do serviço. O CVE-2011-0419 não afeta os sistemas OS X Lion. Estão disponíveis mais informações no site do Apache em http://httpd.apache.org/

ID CVE

CVE-2011-0419

CVE-2011-3192

 

- 

- 

Firewall da aplicação

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a execução de um binário com um nome criado com intuito malicioso poderá provocar a execução de um código arbitrário com privilégios elevados

Descrição: existia uma vulnerabilidade na cadeia de formato no registo de depuração da Firewall da aplicação.

ID CVE

CVE-2011-0185: investigador anónimo

 

- 

- 

ATS

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a visualização ou descarga de um documento que contenha um tipo de letra incorporado criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: existia um problema de assinatura no processamento de tipos de letra Type 1 por parte do ATS. Este problema não afeta os sistemas anteriores ao OS X Lion.

ID CVE

CVE-2011-3437

 

- 

- 

ATS

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: a visualização ou descarga de um documento que contenha um tipo de letra incorporado criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: existia um problema de acesso à memória fora dos limites no processamento de tipos de letra Type 1 por parte do ATS. Este problema não afeta os sistemas OS X Lion.

ID CVE

CVE-2011-0229: Will Dormann da CERT/CC

 

- 

- 

ATS

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: as aplicações que utilizam a API ATSFontDeactivate poderão estar vulneráveis ao encerramento inesperado da aplicação ou à execução de um código arbitrário

Descrição: existia um problema de ultrapassagem do limite máximo de buffer na API ATSFontDeactivate.

ID CVE

CVE-2011-0230: Steven Michaud da Mozilla

 

- 

- 

BIND

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: várias vulnerabilidades no BIND 9.7.3

Descrição: existiam vários problemas de recusa de serviços no BIND 9.7.3. Estes problemas são resolvidos através da atualização do BIND para a versão 9.7.3-P3.

ID CVE

CVE-2011-1910

CVE-2011-2464

 

- 

- 

BIND

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: várias vulnerabilidades no BIND

Descrição: existiam vários problemas de recusa de serviços no BIND. Estes problemas são resolvidos através da atualização do BIND para a versão 9.6-ESV-R4-P3.

ID CVE

CVE-2009-4022

CVE-2010-0097

CVE-2010-3613

CVE-2010-3614

CVE-2011-1910

CVE-2011-2464

 

- 

- 

Política de confiança de certificados

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1.

Impacto: os certificados raiz foram atualizados

Descrição: foram adicionados vários certificados fidedignos à lista de raízes do sistema. Foram atualizados vários certificados existentes para a versão mais recente. A lista completa de raízes do sistema reconhecidas pode ser consultada através da aplicação Acesso a Porta-chaves.

 

- 

- 

CFNetwork

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: o Safari poderá armazenar cookies que não está configurado para aceitar

Descrição: existia um problema de sincronização no processamento de políticas de cookies por parte do CFNetwork. As preferências de cookies do Safari poderão não ser respeitadas, permitindo que os sites instalem cookies que seriam bloqueados se esta preferência estivesse a ser aplicada. Esta atualização resolve o problema ao melhorar o processamento do armazenamento dos cookies.

ID CVE

CVE-2011-0231: Martin Tessarek, Steve Riggins da Geeks R Us, Justin C. Walker e Stephen Creswell

 

- 

- 

CFNetwork

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação de informações sensíveis

Descrição: existia um problema no processamento de cookies HTTP por parte do CFNetwork. O CFNetwork poderá enviar incorretamente os cookies de um domínio para um servidor que se encontre fora desse domínio, se aceder a um URL HTTPS ou HTTP criado com intuito malicioso. Este problema não afeta os sistemas anteriores ao OS X Lion.

ID CVE

CVE-2011-3246: Erling Ellingsen do Facebook

 

- 

- 

CoreFoundation

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: visualizar um site ou uma mensagem de e-mail criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existia um problema de corrupção de memória no processamento de "tokenização" de cadeias por parte do CoreFoundation. Este problema não afeta os sistemas OS X Lion. Esta atualização resolve o problema através de uma melhor verificação dos limites.

ID CVE

CVE-2011-0259: Apple

 

- 

- 

CoreMedia

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação de dados de vídeo de outro site

Descrição: existia um problema de cruzamento de origens no processamento de redirecionamentos entre sites por parte do CoreMedia. Este problema é resolvido através de uma melhoria do registo da origem.

ID CVE

CVE-2011-0187: Nirankush Panchbhai e Microsoft Vulnerability Research (MSVR)

 

- 

- 

CoreMedia

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existiam vários problemas de corrupção de memória no processamento de ficheiros de filmes do QuickTime. Estes problemas não afetam os sistemas OS X Lion.

ID CVE

CVE-2011-0224: Apple

 

- 

- 

CoreProcesses

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: uma pessoa com acesso físico a um sistema poderá contornar parcialmente o bloqueio do ecrã

Descrição: uma janela do sistema, como um pedido de palavra-passe VPN, que era apresentada quando o ecrã estava bloqueado, poderá ter aceitado os batimentos de teclas efetuados com o ecrã bloqueado. Este problema é resolvido impedindo as janelas do sistema de solicitar batimentos de teclas enquanto o ecrã estiver bloqueado. Este problema não afeta os sistemas anteriores ao OS X Lion.

ID CVE

CVE-2011-0260: Clint Tseng da Universidade de Washington, Michael Kobb e Adam Kemp

 

- 

- 

CoreStorage

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a conversão para o FileVault não apaga todos os dados existentes

Descrição: depois de ativar o FileVault, aproximadamente 250 MB no início do volume foram deixados não cifrados no disco, numa área não utilizada. Apenas os dados que estavam presentes no volume antes de o FileVault ter sido ativado foram deixados não cifrados. Este problema é resolvido apagando esta área quando ativar o FileVault e na primeira utilização de um volume cifrado afetado por este problema. Este problema não afeta os sistemas anteriores ao OS X Lion.

ID CVE

CVE-2011-3212: Judson Powers da ATC-NY

 

- 

- 

Sistemas de ficheiros

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: um atacante com uma posição privilegiada na rede poderá manipular os certificados dos servidores HTTPS, provocando a divulgação de informações sensíveis

Descrição: existia um problema no processamento de volumes WebDAV nos servidores HTTPS. Se o servidor apresentasse uma cadeia de certificados que não fosse possível verificar automaticamente, era apresentado um aviso e a ligação era fechada. Se o utilizador clicasse no botão Continuar, na caixa de diálogo de aviso, qualquer certificado era aceite na ligação seguinte a esse servidor. Um atacante com uma posição privilegiada na rede poderá manipular a ligação para obter informações sensíveis ou executar ações no servidor em nome do utilizador. Esta atualização resolve o problema ao validar que o certificado recebido na segunda ligação é o mesmo que foi apresentado originalmente ao utilizador.

ID CVE

CVE-2011-3213: Apple

 

- 

- 

IOGraphics

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: uma pessoa com acesso físico poderá conseguir contornar o bloqueio do ecrã

Descrição: existia um problema com o bloqueio do ecrã quando utilizado com monitores Apple Cinema. Quando for solicitada uma palavra-passe para ativar após pausa, uma pessoa com acesso físico poderá conseguir aceder ao sistema sem introduzir uma palavra-passe se o sistema se encontrar com o ecrã em modo de pausa. Esta atualização resolve o problema assegurando que o ecrã bloqueado é ativado corretamente no ecrã em modo de pausa. Este problema não afeta os sistemas OS X Lion.

ID CVE

CVE-2011-3214: Apple

 

- 

- 

Servidor do iChat

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: um atacante remoto poderá provocar o consumo de recursos do sistema de uma forma desproporcionada por parte do servidor Jabber

Descrição: existia um problema no processamento de entidades externas de XML no jabberd2, um servidor do protocolo XMPP (Extensible Messaging and Presence Protocol). O jabberd2 expande as entidades externas em pedidos recebidos. Isto permite que um atacante consuma recursos do sistema muito depressa, impedindo os utilizadores legítimos do servidor de utilizarem o serviço. Esta atualização resolve o problema desativando a expansão de entidades nos pedidos recebidos.

ID CVE

CVE-2011-1755

 

- 

- 

Kernel

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: uma pessoa com acesso físico poderá conseguir aceder à palavra-passe do utilizador

Descrição: um erro de lógica na proteção do DMA do kernel permitia o DMA do Firewire na janela de início de sessão, no arranque e no encerramento, mas não no bloqueio do ecrã. Esta atualização resolve o problema, impedindo o DMA do Firewire em todos os estados em que o utilizador não tenha sessão iniciada.

ID CVE

CVE-2011-3215: Passware, Inc.

 

- 

- 

Kernel

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: um utilizador sem privilégios poderá conseguir apagar os ficheiros de outro utilizador num diretório partilhado

Descrição: existia um erro de lógica no processamento de eliminações de ficheiros por parte do kernel em diretórios com bit modificador.

ID CVE

CVE-2011-3216: Gordon Davisson da Crywolf, Linc Davis, R. Dormer e Allan Schmid e Oliver Jeckel da Brainworks Training

 

- 

- 

libsecurity

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: visualizar um site ou uma mensagem de e-mail criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existia um problema no processamento de um erro durante a análise da extensão de uma lista de revogação de certificados não normalizados.

ID CVE

CVE-2011-3227: Richard Godbee da Virginia Tech

 

- 

- 

Mailman

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: várias vulnerabilidades no Mailman 2.1.14

Descrição: existiam vários problemas de execução de scripts entre sites no Mailman 2.1.14. Estes problemas são resolvidos através de uma melhor codificação de caracteres na saída HTML. Estão disponíveis mais informações no site do Mailman em http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html Este problema não afeta os sistemas OS X Lion.

ID CVE

CVE-2011-0707

 

- 

- 

MediaKit

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: a abertura de uma imagem de disco criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existiam vários problemas de corrupção de memória no processamento de imagens de disco. Estes problemas não afetam os sistemas OS X Lion.

ID CVE

CVE-2011-3217: Apple

 

- 

- 

Open Directory

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: qualquer utilizador poderá ler os dados da palavra-passe de outro utilizador local

Descrição: existia um problema de controlo de acesso no Open Directory. Este problema não afeta os sistemas anteriores ao OS X Lion.

ID CVE

CVE-2011-3435: Arek Dreyer da Dreyer Network Consultants, Inc e Patrick Dunstan da defenseindepth.net

 

- 

- 

Open Directory

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: um utilizador autenticado poderá alterar a palavra-passe dessa conta sem fornecer a palavra-passe atual

Descrição: existia um problema de controlo de acesso no Open Directory. Este problema não afeta os sistemas anteriores ao OS X Lion.

ID CVE

CVE-2011-3436: Patrick Dunstan da defenceindepth.net

 

- 

- 

Open Directory

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: um utilizador poderá conseguir iniciar sessão sem uma palavra-passe

Descrição: quando um Open Directory está ligado a um servidor LDAPv3 através de RFC2307 ou de mapeamentos personalizados, de tal forma que não exista um atributo de AuthenticationAuthority para um utilizador, poderá ser permitido a um utilizador LDAP iniciar sessão sem uma palavra-passe. Este problema não afeta os sistemas anteriores ao OS X Lion.

ID CVE

CVE-2011-3226: Jeffry Strunk da Universidade do Texas, em Austin, Steven Eppler da Universidade Colorado Mesa, Hugh Cole-Baker e Frederic Metoz do Institut de Biologie Structurale

 

- 

- 

PHP

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a visualização de um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existia um problema de assinatura no processamento de tipos de letra Type 1 pelo FreeType. Este problema é resolvido atualizando o FreeType para a versão 2.4.6. Este problema não afeta os sistemas anteriores ao OS X Lion. Estão disponíveis mais informações no site do FreeType em http://www.freetype.org/

ID CVE

CVE-2011-0226

 

- 

- 

PHP

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: várias vulnerabilidades no libpng 1.4.3

Descrição: o libpng foi atualizado para a versão 1.5.4 para corrigir várias vulnerabilidades, a mais grave das quais poderá provocar a execução de um código arbitrário. Estão disponíveis mais informações no site do libpng em http://www.libpng.org/pub/png/libpng.html

ID CVE

CVE-2011-2690

CVE-2011-2691

CVE-2011-2692

 

- 

- 

PHP

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: várias vulnerabilidades no PHP 5.3.4

Descrição: o PHP é atualizado para a versão 5.3.6 para corrigir várias vulnerabilidades, a mais grave das quais poderá provocar a execução de um código arbitrário. Estes problemas não afetam os sistemas OS X Lion. Estão disponíveis mais informações no site do PHP em http://www.php.net/.

ID CVE

CVE-2010-3436

CVE-2010-4645

CVE-2011-0420

CVE-2011-0421

CVE-2011-0708

CVE-2011-1092

CVE-2011-1153

CVE-2011-1466

CVE-2011-1467

CVE-2011-1468

CVE-2011-1469

CVE-2011-1470

CVE-2011-1471

 

- 

- 

postfix

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: várias vulnerabilidades no Postfix

Descrição: o Postfix é atualizado para a versão 2.5.14 para corrigir várias vulnerabilidades, a mais grave das quais poderá permitir a um atacante, com uma posição privilegiada na rede, manipular a sessão de correio eletrónico para obter informações sensíveis a partir do tráfego cifrado. Estes problemas não deverão afetar os sistemas OS X Lion. Estão disponíveis mais informações no site do Postfix em http://www.postfix.org/announcements/postfix-2.7.3.html

ID CVE

CVE-2011-0411

CVE-2011-1720

 

- 

- 

python

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: várias vulnerabilidades no python

Descrição: existiam várias vulnerabilidades no python, a mais grave das quais poderá provocar a execução de um código arbitrário. Esta atualização resolve estes problemas ao aplicar as correções do projeto python. Estão disponíveis mais informações no site do python em http://www.python.org/download/releases/

ID CVE

CVE-2010-1634

CVE-2010-2089

CVE-2011-1521

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existiam vários problemas de corrupção de memória no processamento de ficheiros de filmes por parte do QuickTime.

ID CVE

CVE-2011-3228: Apple

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existia um problema de ultrapassagem do limite máximo de buffer na área dinâmica para dados no processamento de átomos STSC em ficheiros de filmes do QuickTime. Este problema não afeta os sistemas OS X Lion.

ID CVE

CVE-2011-0249: Matt "j00ru" Jurczyk em colaboração com o programa Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existia um problema de ultrapassagem do limite máximo de buffer na área dinâmica para dados no processamento de átomos STSS em ficheiros de filmes do QuickTime. Este problema não afeta os sistemas OS X Lion.

ID CVE

CVE-2011-0250: Matt "j00ru" Jurczyk em colaboração com o programa Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existia um problema de ultrapassagem do limite máximo de buffer na área dinâmica para dados no processamento de átomos STSZ em ficheiros de filmes do QuickTime. Este problema não afeta os sistemas OS X Lion.

ID CVE

CVE-2011-0251: Matt "j00ru" Jurczyk em colaboração com o programa Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existia um problema de ultrapassagem do limite máximo de buffer na área dinâmica para dados no processamento de átomos STTS em ficheiros de filmes do QuickTime. Este problema não afeta os sistemas OS X Lion.

ID CVE

CVE-2011-0252: Matt "j00ru" Jurczyk em colaboração com o programa Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: um atacante com uma posição privilegiada na rede poderá injetar um script no domínio local enquanto visualiza o HTML modelo

Descrição: existia um problema de execução de scripts entre sites na exportação "Guardar na Web" do QuickTime Player. Os ficheiros HTML modelo gerados por esta funcionalidade referenciavam um ficheiro de script de uma origem não cifrada. Um atacante com uma posição privilegiada na rede poderá conseguir injetar scripts maliciosos no domínio local se o utilizador visualizar um ficheiro modelo localmente. Este problema é resolvido através da remoção da referência a um script online. Este problema não afeta os sistemas OS X Lion.

ID CVE

CVE-2011-3218: Aaron Sigel da vtty.com

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existia um problema de ultrapassagem do limite máximo de buffer no processamento de ficheiros de filmes com codificação H.264 por parte do QuickTime.

ID CVE

CVE-2011-3219: Damian Put em colaboração com o programa Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: a visualização de um ficheiro de filme criado com intuito malicioso poderá provocar a divulgação de conteúdos da memória

Descrição: existia um problema de acesso à memória não inicializada no processamento de gestores de dados de URL do QuickTime em ficheiros de filmes.

ID CVE

CVE-2011-3220: Luigi Auriemma em colaboração com o programa Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existia um problema de implementação no processamento da hierarquia de átomos do QuickTime num ficheiro de filme.

ID CVE

CVE-2011-3221: um investigador anónimo em colaboração com o programa Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: visualizar um ficheiro FlashPix criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existia um problema de ultrapassagem do limite máximo de buffer no processamento de ficheiros FlashPix por parte do QuickTime.

ID CVE

CVE-2011-3222: Damian Put em colaboração com o programa Zero Day Initiative da TippingPoint

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existia um problema de ultrapassagem do limite máximo de buffer no processamento de ficheiros FLIC por parte do QuickTime.

ID CVE

CVE-2011-3223: Matt "j00ru" Jurczyk em colaboração com o programa Zero Day Initiative da TippingPoint

 

- 

- 

Servidor de ficheiros SMB

Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: um utilizador convidado poderá navegar por pastas partilhadas

Descrição: existia um problema de controlo de acesso no Servidor de ficheiros SMB. A não permissão do acesso do convidado ao registo do ponto de partilha de uma pasta impedia o utilizador "_unknown" de navegar no ponto de partilha, mas não os convidados (utilizador "nobody"). Este problema pode ser resolvido através da aplicação de controlo de acesso ao utilizador convidado. Este problema não afeta os sistemas anteriores ao OS X Lion.

ID CVE

CVE-2011-3225

 

- 

- 

Tomcat

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: existem várias vulnerabilidades no Tomcat 6.0.24

Descrição: o Tomcat é atualizado para a versão 6.0.32 para corrigir várias vulnerabilidades, a mais grave das quais poderá provocar um ataque de execução de scripts entre sites. O Tomcat só é fornecido nos sistemas Mac OS X Server. Este problema não afeta os sistemas OS X Lion. Estão disponíveis mais informações no site do Tomcat em http://tomcat.apache.org/

ID CVE

CVE-2010-1157

CVE-2010-2227

CVE-2010-3718

CVE-2010-4172

CVE-2011-0013

CVE-2011-0534

 

- 

- 

Documentação do utilizador

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: um atacante com uma posição privilegiada na rede poderá manipular os conteúdos de ajuda da App Store, provocando a execução de um código arbitrário

Descrição: os conteúdos de ajuda da App Store eram atualizados através de HTTP. Esta atualização resolve o problema atualizando os conteúdos de ajuda da App Store através de HTTPS. Este problema não afeta os sistemas OS X Lion.

ID CVE

CVE-2011-3224: Aaron Sigel do vtty.com e Brian Mastenbrook

 

- 

- 

Servidor Web

Disponível para: Mac OS X Server v10.6.8

Impacto: os clientes poderão não conseguir aceder aos serviços Web que requeiram autenticação de síntese

Descrição: foi resolvido um problema no processamento da autenticação de síntese HTTP. Poderá ser recusado o acesso dos utilizadores aos recursos do servidor quando a configuração do servidor deveria ter permitido o acesso. Este problema não representa um risco para a segurança e foi resolvido para facilitar a utilização de mecanismos de autenticação mais fortes. Os sistemas que executam o OS X Lion Server não são afetados por este problema.

 

- 

- 

X11

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

Impacto: várias vulnerabilidades no libpng

Descrição: existiam várias vulnerabilidades no libpng, a mais grave das quais poderá provocar a execução de um código arbitrário. Estes problemas são resolvidos através da atualização do libpng para a versão 1.5.4 nos sistemas OS Lion e para a versão 1.2.46 nos sistemas Mac OS X v10.6. Estão disponíveis mais informações no site do libpng em http://www.libpng.org/pub/png/libpng.html

ID CVE

CVE-2011-2690

CVE-2011-2691

CVE-2011-2692