Acerca dos conteúdos de segurança do OS X Lion v10.7.2 e da Actualização de segurança 2011-006

Este artigo descreve os conteúdos de segurança do OS X Lion v10.7.2 e da Actualização de segurança 2011-006.

Este documento descreve os conteúdos de segurança do OS X Lion v10.7.2 e da Actualização de segurança 2011-006, que podem ser descarregados e instalados através da Actualização de software ou a partir das Descargas da Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações acerca da chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
 

OS X Lion v10.7.2 e Actualização de segurança 2011-006

  • Apache

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: várias vulnerabilidades no Apache

    Descrição: o Apache é atualizado para a versão 2.2.20 para resolver várias vulnerabilidades, a mais grave das quais poderá levar à recusa do serviço. O CVE-2011-0419 não afeta os sistemas OS X Lion. Estão disponíveis mais informações no site do Apache em http://httpd.apache.org/

    ID CVE

    CVE-2011-0419

    CVE-2011-3192

  • Firewall da aplicação

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a execução de um binário com um nome criado com intuito malicioso poderá provocar a execução de um código arbitrário com privilégios elevados

    Descrição: existia uma vulnerabilidade na cadeia de formato no registo de depuração da Firewall da aplicação.

    ID CVE

    CVE-2011-0185: investigador anónimo

  • ATS

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a visualização ou descarga de um documento que contenha um tipo de letra incorporado criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de assinatura no processamento de tipos de letra Type 1 por parte do ATS. Este problema não afeta os sistemas anteriores ao OS X Lion.

    ID CVE

    CVE-2011-3437

  • ATS

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: a visualização ou descarga de um documento que contenha um tipo de letra incorporado criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de acesso à memória fora dos limites no processamento de tipos de letra Type 1 por parte do ATS. Este problema não afeta os sistemas OS X Lion.

    ID CVE

    CVE-2011-0229: Will Dormann da CERT/CC

  • ATS

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: as aplicações que utilizam a API ATSFontDeactivate poderão estar vulneráveis ao encerramento inesperado da aplicação ou à execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de buffer na API ATSFontDeactivate.

    ID CVE

    CVE-2011-0230: Steven Michaud da Mozilla

  • BIND

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: várias vulnerabilidades no BIND 9.7.3

    Descrição: existiam vários problemas de recusa de serviços no BIND 9.7.3. Estes problemas são resolvidos através da atualização do BIND para a versão 9.7.3-P3.

    ID CVE

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: várias vulnerabilidades no BIND

    Descrição: existiam vários problemas de recusa de serviços no BIND. Estes problemas são resolvidos através da atualização do BIND para a versão 9.6-ESV-R4-P3.

    ID CVE

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Política de confiança de certificados

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1.

    Impacto: os certificados raiz foram atualizados

    Descrição: foram adicionados vários certificados fidedignos à lista de raízes do sistema. Foram atualizados vários certificados existentes para a versão mais recente. A lista completa de raízes do sistema reconhecidas pode ser consultada através da aplicação Acesso a Porta-chaves.

  • CFNetwork

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: o Safari poderá armazenar cookies que não está configurado para aceitar

    Descrição: existia um problema de sincronização no processamento de políticas de cookies por parte do CFNetwork. As preferências de cookies do Safari poderão não ser respeitadas, permitindo que os sites instalem cookies que seriam bloqueados se esta preferência estivesse a ser aplicada. Esta atualização resolve o problema ao melhorar o processamento do armazenamento dos cookies.

    ID CVE

    CVE-2011-0231: Martin Tessarek, Steve Riggins da Geeks R Us, Justin C. Walker e Stephen Creswell

  • CFNetwork

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação de informações sensíveis

    Descrição: existia um problema no processamento de cookies HTTP por parte do CFNetwork. O CFNetwork poderá enviar incorretamente os cookies de um domínio para um servidor que se encontre fora desse domínio, se aceder a um URL HTTPS ou HTTP criado com intuito malicioso. Este problema não afeta os sistemas anteriores ao OS X Lion.

    ID CVE

    CVE-2011-3246: Erling Ellingsen do Facebook

  • CoreFoundation

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: visualizar um site ou uma mensagem de e-mail criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de "tokenização" de cadeias por parte do CoreFoundation. Este problema não afeta os sistemas OS X Lion. Esta atualização resolve o problema através de uma melhor verificação dos limites.

    ID CVE

    CVE-2011-0259: Apple

  • CoreMedia

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação de dados de vídeo de outro site

    Descrição: existia um problema de cruzamento de origens no processamento de redirecionamentos entre sites por parte do CoreMedia. Este problema é resolvido através de uma melhoria do registo da origem.

    ID CVE

    CVE-2011-0187: Nirankush Panchbhai e Microsoft Vulnerability Research (MSVR)

  • CoreMedia

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no processamento de ficheiros de filmes do QuickTime. Estes problemas não afetam os sistemas OS X Lion.

    ID CVE

    CVE-2011-0224: Apple

  • CoreProcesses

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: uma pessoa com acesso físico a um sistema poderá contornar parcialmente o bloqueio do ecrã

    Descrição: uma janela do sistema, como um pedido de palavra-passe VPN, que era apresentada quando o ecrã estava bloqueado, poderá ter aceitado os batimentos de teclas efetuados com o ecrã bloqueado. Este problema é resolvido impedindo as janelas do sistema de solicitar batimentos de teclas enquanto o ecrã estiver bloqueado. Este problema não afeta os sistemas anteriores ao OS X Lion.

    ID CVE

    CVE-2011-0260: Clint Tseng da Universidade de Washington, Michael Kobb e Adam Kemp

  • CoreStorage

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a conversão para o FileVault não apaga todos os dados existentes

    Descrição: depois de ativar o FileVault, aproximadamente 250 MB no início do volume foram deixados não cifrados no disco, numa área não utilizada. Apenas os dados que estavam presentes no volume antes de o FileVault ter sido ativado foram deixados não cifrados. Este problema é resolvido apagando esta área quando ativar o FileVault e na primeira utilização de um volume cifrado afetado por este problema. Este problema não afeta os sistemas anteriores ao OS X Lion.

    ID CVE

    CVE-2011-3212: Judson Powers da ATC-NY

  • Sistemas de ficheiros

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: um atacante com uma posição privilegiada na rede poderá manipular os certificados dos servidores HTTPS, provocando a divulgação de informações sensíveis

    Descrição: existia um problema no processamento de volumes WebDAV nos servidores HTTPS. Se o servidor apresentasse uma cadeia de certificados que não fosse possível verificar automaticamente, era apresentado um aviso e a ligação era fechada. Se o utilizador clicasse no botão Continuar, na caixa de diálogo de aviso, qualquer certificado era aceite na ligação seguinte a esse servidor. Um atacante com uma posição privilegiada na rede poderá manipular a ligação para obter informações sensíveis ou executar ações no servidor em nome do utilizador. Esta atualização resolve o problema ao validar que o certificado recebido na segunda ligação é o mesmo que foi apresentado originalmente ao utilizador.

    ID CVE

    CVE-2011-3213: Apple

  • IOGraphics

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: uma pessoa com acesso físico poderá conseguir contornar o bloqueio do ecrã

    Descrição: existia um problema com o bloqueio do ecrã quando utilizado com monitores Apple Cinema. Quando for solicitada uma palavra-passe para ativar após pausa, uma pessoa com acesso físico poderá conseguir aceder ao sistema sem introduzir uma palavra-passe se o sistema se encontrar com o ecrã em modo de pausa. Esta atualização resolve o problema assegurando que o ecrã bloqueado é ativado corretamente no ecrã em modo de pausa. Este problema não afeta os sistemas OS X Lion.

    ID CVE

    CVE-2011-3214: Apple

  • Servidor do iChat

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: um atacante remoto poderá provocar o consumo de recursos do sistema de uma forma desproporcionada por parte do servidor Jabber

    Descrição: existia um problema no processamento de entidades externas de XML no jabberd2, um servidor do protocolo XMPP (Extensible Messaging and Presence Protocol). O jabberd2 expande as entidades externas em pedidos recebidos. Isto permite que um atacante consuma recursos do sistema muito depressa, impedindo os utilizadores legítimos do servidor de utilizarem o serviço. Esta atualização resolve o problema desativando a expansão de entidades nos pedidos recebidos.

    ID CVE

    CVE-2011-1755

  • Kernel

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: uma pessoa com acesso físico poderá conseguir aceder à palavra-passe do utilizador

    Descrição: um erro de lógica na proteção do DMA do kernel permitia o DMA do Firewire na janela de início de sessão, no arranque e no encerramento, mas não no bloqueio do ecrã. Esta atualização resolve o problema, impedindo o DMA do Firewire em todos os estados em que o utilizador não tenha sessão iniciada.

    ID CVE

    CVE-2011-3215: Passware, Inc.

  • Kernel

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: um utilizador sem privilégios poderá conseguir apagar os ficheiros de outro utilizador num diretório partilhado

    Descrição: existia um erro de lógica no processamento de eliminações de ficheiros por parte do kernel em diretórios com bit modificador.

    ID CVE

    CVE-2011-3216: Gordon Davisson da Crywolf, Linc Davis, R. Dormer e Allan Schmid e Oliver Jeckel da Brainworks Training

  • libsecurity

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: visualizar um site ou uma mensagem de e-mail criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema no processamento de um erro durante a análise da extensão de uma lista de revogação de certificados não normalizados.

    ID CVE

    CVE-2011-3227: Richard Godbee da Virginia Tech

  • Mailman

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: várias vulnerabilidades no Mailman 2.1.14

    Descrição: existiam vários problemas de execução de scripts entre sites no Mailman 2.1.14. Estes problemas são resolvidos através de uma melhor codificação de caracteres na saída HTML. Estão disponíveis mais informações no site do Mailman em http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html Este problema não afeta os sistemas OS X Lion.

    ID CVE

    CVE-2011-0707

  • MediaKit

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: a abertura de uma imagem de disco criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no processamento de imagens de disco. Estes problemas não afetam os sistemas OS X Lion.

    ID CVE

    CVE-2011-3217: Apple

  • Open Directory

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: qualquer utilizador poderá ler os dados da palavra-passe de outro utilizador local

    Descrição: existia um problema de controlo de acesso no Open Directory. Este problema não afeta os sistemas anteriores ao OS X Lion.

    ID CVE

    CVE-2011-3435: Arek Dreyer da Dreyer Network Consultants, Inc e Patrick Dunstan da defenseindepth.net

  • Open Directory

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: um utilizador autenticado poderá alterar a palavra-passe dessa conta sem fornecer a palavra-passe atual

    Descrição: existia um problema de controlo de acesso no Open Directory. Este problema não afeta os sistemas anteriores ao OS X Lion.

    ID CVE

    CVE-2011-3436: Patrick Dunstan da defenceindepth.net

  • Open Directory

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: um utilizador poderá conseguir iniciar sessão sem uma palavra-passe

    Descrição: quando um Open Directory está ligado a um servidor LDAPv3 através de RFC2307 ou de mapeamentos personalizados, de tal forma que não exista um atributo de AuthenticationAuthority para um utilizador, poderá ser permitido a um utilizador LDAP iniciar sessão sem uma palavra-passe. Este problema não afeta os sistemas anteriores ao OS X Lion.

    ID CVE

    CVE-2011-3226: Jeffry Strunk da Universidade do Texas, em Austin, Steven Eppler da Universidade Colorado Mesa, Hugh Cole-Baker e Frederic Metoz do Institut de Biologie Structurale

  • PHP

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a visualização de um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de assinatura no processamento de tipos de letra Type 1 pelo FreeType. Este problema é resolvido atualizando o FreeType para a versão 2.4.6. Este problema não afeta os sistemas anteriores ao OS X Lion. Estão disponíveis mais informações no site do FreeType em http://www.freetype.org/

    ID CVE

    CVE-2011-0226

  • PHP

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: várias vulnerabilidades no libpng 1.4.3

    Descrição: o libpng foi atualizado para a versão 1.5.4 para corrigir várias vulnerabilidades, a mais grave das quais poderá provocar a execução de um código arbitrário. Estão disponíveis mais informações no site do libpng em http://www.libpng.org/pub/png/libpng.html

    ID CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: várias vulnerabilidades no PHP 5.3.4

    Descrição: o PHP é atualizado para a versão 5.3.6 para corrigir várias vulnerabilidades, a mais grave das quais poderá provocar a execução de um código arbitrário. Estes problemas não afetam os sistemas OS X Lion. Estão disponíveis mais informações no site do PHP em http://www.php.net/.

    ID CVE

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: várias vulnerabilidades no Postfix

    Descrição: o Postfix é atualizado para a versão 2.5.14 para corrigir várias vulnerabilidades, a mais grave das quais poderá permitir a um atacante, com uma posição privilegiada na rede, manipular a sessão de correio eletrónico para obter informações sensíveis a partir do tráfego cifrado. Estes problemas não deverão afetar os sistemas OS X Lion. Estão disponíveis mais informações no site do Postfix em http://www.postfix.org/announcements/postfix-2.7.3.html

    ID CVE

    CVE-2011-0411

    CVE-2011-1720

  • python

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: várias vulnerabilidades no python

    Descrição: existiam várias vulnerabilidades no python, a mais grave das quais poderá provocar a execução de um código arbitrário. Esta atualização resolve estes problemas ao aplicar as correções do projeto python. Estão disponíveis mais informações no site do python em http://www.python.org/download/releases/

    ID CVE

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no processamento de ficheiros de filmes por parte do QuickTime.

    ID CVE

    CVE-2011-3228: Apple

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de buffer na área dinâmica para dados no processamento de átomos STSC em ficheiros de filmes do QuickTime. Este problema não afeta os sistemas OS X Lion.

    ID CVE

    CVE-2011-0249: Matt "j00ru" Jurczyk em colaboração com o programa Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de buffer na área dinâmica para dados no processamento de átomos STSS em ficheiros de filmes do QuickTime. Este problema não afeta os sistemas OS X Lion.

    ID CVE

    CVE-2011-0250: Matt "j00ru" Jurczyk em colaboração com o programa Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de buffer na área dinâmica para dados no processamento de átomos STSZ em ficheiros de filmes do QuickTime. Este problema não afeta os sistemas OS X Lion.

    ID CVE

    CVE-2011-0251: Matt "j00ru" Jurczyk em colaboração com o programa Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de buffer na área dinâmica para dados no processamento de átomos STTS em ficheiros de filmes do QuickTime. Este problema não afeta os sistemas OS X Lion.

    ID CVE

    CVE-2011-0252: Matt "j00ru" Jurczyk em colaboração com o programa Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: um atacante com uma posição privilegiada na rede poderá injetar um script no domínio local enquanto visualiza o HTML modelo

    Descrição: existia um problema de execução de scripts entre sites na exportação "Guardar na Web" do QuickTime Player. Os ficheiros HTML modelo gerados por esta funcionalidade referenciavam um ficheiro de script de uma origem não cifrada. Um atacante com uma posição privilegiada na rede poderá conseguir injetar scripts maliciosos no domínio local se o utilizador visualizar um ficheiro modelo localmente. Este problema é resolvido através da remoção da referência a um script online. Este problema não afeta os sistemas OS X Lion.

    ID CVE

    CVE-2011-3218: Aaron Sigel da vtty.com

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de buffer no processamento de ficheiros de filmes com codificação H.264 por parte do QuickTime.

    ID CVE

    CVE-2011-3219: Damian Put em colaboração com o programa Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a visualização de um ficheiro de filme criado com intuito malicioso poderá provocar a divulgação de conteúdos da memória

    Descrição: existia um problema de acesso à memória não inicializada no processamento de gestores de dados de URL do QuickTime em ficheiros de filmes.

    ID CVE

    CVE-2011-3220: Luigi Auriemma em colaboração com o programa Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de implementação no processamento da hierarquia de átomos do QuickTime num ficheiro de filme.

    ID CVE

    CVE-2011-3221: um investigador anónimo em colaboração com o programa Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: visualizar um ficheiro FlashPix criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de buffer no processamento de ficheiros FlashPix por parte do QuickTime.

    ID CVE

    CVE-2011-3222: Damian Put em colaboração com o programa Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de buffer no processamento de ficheiros FLIC por parte do QuickTime.

    ID CVE

    CVE-2011-3223: Matt "j00ru" Jurczyk em colaboração com o programa Zero Day Initiative da TippingPoint

  • Servidor de ficheiros SMB

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: um utilizador convidado poderá navegar por pastas partilhadas

    Descrição: existia um problema de controlo de acesso no Servidor de ficheiros SMB. A não permissão do acesso do convidado ao registo do ponto de partilha de uma pasta impedia o utilizador "_unknown" de navegar no ponto de partilha, mas não os convidados (utilizador "nobody"). Este problema pode ser resolvido através da aplicação de controlo de acesso ao utilizador convidado. Este problema não afeta os sistemas anteriores ao OS X Lion.

    ID CVE

    CVE-2011-3225

  • Tomcat

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: existem várias vulnerabilidades no Tomcat 6.0.24

    Descrição: o Tomcat é atualizado para a versão 6.0.32 para corrigir várias vulnerabilidades, a mais grave das quais poderá provocar um ataque de execução de scripts entre sites. O Tomcat só é fornecido nos sistemas Mac OS X Server. Este problema não afeta os sistemas OS X Lion. Estão disponíveis mais informações no site do Tomcat em http://tomcat.apache.org/

    ID CVE

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Documentação do utilizador

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: um atacante com uma posição privilegiada na rede poderá manipular os conteúdos de ajuda da App Store, provocando a execução de um código arbitrário

    Descrição: os conteúdos de ajuda da App Store eram atualizados através de HTTP. Esta atualização resolve o problema atualizando os conteúdos de ajuda da App Store através de HTTPS. Este problema não afeta os sistemas OS X Lion.

    ID CVE

    CVE-2011-3224: Aaron Sigel do vtty.com e Brian Mastenbrook

  • Servidor Web

    Disponível para: Mac OS X Server v10.6.8

    Impacto: os clientes poderão não conseguir aceder aos serviços Web que requeiram autenticação de síntese

    Descrição: foi resolvido um problema no processamento da autenticação de síntese HTTP. Poderá ser recusado o acesso dos utilizadores aos recursos do servidor quando a configuração do servidor deveria ter permitido o acesso. Este problema não representa um risco para a segurança e foi resolvido para facilitar a utilização de mecanismos de autenticação mais fortes. Os sistemas que executam o OS X Lion Server não são afetados por este problema.

  • X11

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: várias vulnerabilidades no libpng

    Descrição: existiam várias vulnerabilidades no libpng, a mais grave das quais poderá provocar a execução de um código arbitrário. Estes problemas são resolvidos através da atualização do libpng para a versão 1.5.4 nos sistemas OS Lion e para a versão 1.2.46 nos sistemas Mac OS X v10.6. Estão disponíveis mais informações no site do libpng em http://www.libpng.org/pub/png/libpng.html

    ID CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: