O OS X Lion v10.7.4 e a Atualização de segurança 2012-002 podem ser descarregados e instalados através das preferências da Actualização de software ou a partir das Descargas da Apple.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.
Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple".
Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
OS X Lion v10.7.4 e Atualização de segurança 2012-002
-
Janela de acesso
Disponível para: OS X Lion v10.7.3, OS X Lion Server v10.7.3
Impacto: administradores remotos e pessoas com acesso físico ao sistema poderão obter informações de contas
Descrição: existia um problema no processamento dos inícios de sessão de contas na rede. O processo de início de sessão registou informações confidenciais no registo do sistema, onde outros utilizadores do sistema poderiam lê-las. As informações confidenciais poderão permanecer em registos guardados após a instalação desta atualização. Este problema afeta apenas os sistemas com o OS X Lion v10.7.3 com utilizadores do FileVault antigo e/ou de diretórios em rede. Consulte o artigo http://support.apple.com/kb/TS4272?viewlocale=pt_PT para obter mais informações sobre como remover registos existentes em segurança.
ID CVE
CVE-2012-0652: Terry Reeves e Tim Winningham da Universidade do Estado de Ohio, Markus "Jaroneko" Räty da Academia Finlandesa de Belas-Artes, Jaakko Pero da Universidade Aalto, Mark Cohen da Universidade do Estado de Oregon, Paul Nelson
-
Bluetooth
Disponível para: OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: um utilizador local poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de condição race em ficheiros temporários no procedimento de inicialização do blued.
ID CVE
CVE-2012-0649: Aaron Sigel da vtty.com
-
curl
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: um atacante poderá conseguir decifrar dados protegidos por SSL
Descrição: ocorriam ataques à confidencialidade do SSL 3.0 e TLS 1.0 enquanto uma cipher suite utilizava uma cifra de bloqueio em modo CBC. O curl desativou a medida de prevenção "empty fragment" que impedia estes ataques. Este problema é resolvido através da ativação da medida de prevenção "empty fragment".
ID CVE
CVE-2011-3389: Apple
-
curl
Disponível para: OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: a utilização do curl ou do libcurl com um URL criado com intuito malicioso poderá provocar ataques de injeção de dados específicos de protocolos
Descrição: existia um problema de injeção de dados no processamento dos URL por parte do curl. Este problema é resolvido através da melhoria da validação de URL. Este problema não afeta os sistemas anteriores ao OS X Lion.
ID CVE
CVE-2012-0036
-
Serviço de diretório
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Impacto: um atacante remoto poderá obter informações confidenciais
Descrição: existiam vários problemas no processamento de mensagens do servidor de diretórios a partir da rede. Através do envio de uma mensagem criada com intuito malicioso, um atacante remoto poderia fazer com que o servidor de diretórios divulgasse memória a partir do respetivo espaço de endereços, podendo revelar credenciais de contas ou outras informações confidenciais. Este problema não afeta os sistemas OS X Lion. O Servidor de diretórios é desativado por predefinição em instalações que não sejam de servidor do OS X.
ID CVE
CVE-2012-0651: Agustin Azubel
-
HFS
Disponível para: OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: a montagem de uma imagem de disco criada com intuito malicioso poderá provocar o encerramento do sistema ou a execução de um código arbitrário
Descrição: existia um problema de excesso de números inteiros no processamento de ficheiros do catálogo HFS.
ID CVE
CVE-2012-0642: pod2g
-
ImageIO
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: visualizar um ficheiro TIFF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de ficheiros TIFF com codificação CCITT Group 4 por parte do ImageIO. Este problema não afeta os sistemas OS X Lion.
ID CVE
CVE-2011-0241: Cyril CATTIAUX da Tessi Technologies
-
ImageIO
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Impacto: várias vulnerabilidades no libpng
Descrição: o libpng foi atualizado para a versão 1.5.5 para corrigir várias vulnerabilidades, a mais grave das quais poderá provocar a divulgação de informações. Pode obter mais informações no site do libpng em http://www.libpng.org/pub/png/libpng.html
ID CVE
CVE-2011-2692
CVE-2011-3328
-
ImageIO
Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: visualizar um ficheiro TIFF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de imagens TIFF com codificação ThunderScan por parte do libtiff. Este problema é resolvido através da atualização do libtiff para a versão 3.9.5.
ID CVE
CVE-2011-1167
-
Kernel
Disponível para: OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: ao utilizar o FileVault, o disco poderá conter dados de utilizadores não cifrados
Descrição: um problema no processamento da imagem de pausa utilizada para hibernação por parte do kernel deixou alguns dados não cifrados no disco, mesmo com o FileVault ativado. Este problema é resolvido através da melhoria do processamento da imagem de pausa e pela substituição da imagem de pausa existente ao proceder à atualização para o OS X v10.7.4. Este problema não afeta sistemas anteriores ao OS X Lion.
ID CVE
CVE-2011-3212: Felix Groebert da equipa de segurança da Google
-
libarchive
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: extrair um arquivo criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existiam vários problemas de ultrapassagem do limite máximo de memória intermédia no processamento dos arquivos tar e dos ficheiros iso9660.
ID CVE
CVE-2011-1777
CVE-2011-1778
-
libsecurity
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: a verificação de um certificado X.509 criado com intuito malicioso como, por exemplo, ao visitar um site criado com intuito malicioso, poderá provocar o encerramento inesperado de uma aplicação ou a execução de código arbitrário
Descrição: ocorria um problema de acesso à memória não inicializada no processamento de certificados X.509.
ID CVE
CVE-2012-0654: Dirk-Willem van Gulik da WebWeaving.org, Guilherme Prado do Conselho da Justiça Federal, Ryan Sleevi da Google
-
libsecurity
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: o suporte para certificados X.509 com chaves RSA de comprimento inseguro poderá expor utilizadores a infiltração e à divulgação de informações
Descrição: certificados assinados através de chaves RSA com comprimentos de chave inseguros foram aceites pelo libsecurity. Este problema é resolvido através da rejeição de certificados que contenham chaves RSA inferiores a 1024 bits.
ID CVE
CVE-2012-0655
-
libxml
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: visualizar uma página web criada com intuito malicioso poderá provocar o encerramento inesperado de aplicações ou a execução de código arbitrário
Descrição: existiam várias vulnerabilidades no libxml, a mais grave das quais poderá provocar o encerramento inesperado de uma aplicação ou uma execução de código arbitrário. Estes problemas são resolvidos através da aplicação das correções de envio relevantes.
ID CVE
CVE-2011-1944: Chris Evans da equipa de segurança do Google Chrome
CVE-2011-2821: Yang Dingning da NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-2834: Yang Dingning da NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-3919: Jüri Aedla
-
LoginUIFramework
Disponível para: OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: se o utilizador convidado estiver ativo, um utilizador com acesso físico ao computador poderá conseguir iniciar sessão na conta de um utilizador que não o utilizador convidado, sem introduzir uma palavra-passe
Descrição: existia uma condição race no processamento de inícios de sessão de utilizadores convidados. Este problema não afeta os sistemas anteriores ao OS X Lion.
ID CVE
CVE-2012-0656: Francisco Gómez (espectalll123)
-
PHP
Disponível para: OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: várias vulnerabilidades no PHP
Descrição: o PHP é atualizado para a versão 5.3.10 com vista a corrigir várias vulnerabilidades, a mais grave das quais poderá provocar a execução de código arbitrário. Estão disponíveis mais informações no site do PHP em http://www.php.net/.
ID CVE
CVE-2011-4566
CVE-2011-4885
CVE-2012-0830
-
Quartz Composer
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: um utilizador com acesso físico ao computador poderá conseguir fazer com que o Safari seja iniciado se o ecrã estiver bloqueado e a proteção de ecrã do Visualizador de RSS for utilizada
Descrição: existia um problema de controlo de acesso no processamento de proteções de ecrã por parte do Quartz Composer. Este problema é resolvido através da melhoria da verificação do bloqueio do ecrã.
ID CVE
CVE-2012-0657: Aaron Sigel da vtty.com
-
QuickTime
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: visualizar um ficheiro de vídeo criado com intuito malicioso durante uma descarga progressiva poderá provocar o encerramento inesperado de uma aplicação ou a execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento das tabelas de amostras de áudio.
ID CVE
CVE-2012-0658: Luigi Auriemma em colaboração com o programa Zero Day Initiative da HP
-
QuickTime
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: visualizar um ficheiro MPEG criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução arbitrária de código
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de ficheiros MPEG.
ID CVE
CVE-2012-0659: um investigador anónimo em colaboração com o programa Zero Day Initiative da HP
-
QuickTime
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: visualizar um ficheiro MPEG criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução arbitrária de código
Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de ficheiros MPEG.
ID CVE
CVE-2012-0660: Justin Kim da Microsoft e do programa Pesquisa de vulnerabilidades da Microsoft
-
QuickTime
Disponível para: OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de "utilização após libertação de memória" no processamento de ficheiros de filme codificados em JPEG2000. Este problema não afeta os sistemas anteriores ao OS X Lion.
ID CVE
CVE-2012-0661: Damian Put em colaboração com o programa Zero Day Initiative da HP
-
Ruby
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: várias vulnerabilidades no Ruby
Descrição: o Ruby é atualizado para a versão 1.8.7-p357 para resolver várias vulnerabilidades.
ID CVE
CVE-2011-1004
CVE-2011-1005
CVE-2011-4815
-
Samba
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Impacto: se a partilha de ficheiros SMB estiver ativada, um atacante remoto não autenticado poderá provocar a recusa de serviço ou a execução de código arbitrário com privilégios de sistema
Descrição: existiam vários problemas de ultrapassagem do limite máximo de memória intermédia no processamento de chamadas de procedimento remotas por parte do Samba. Ao enviar um pacote criado com intuito malicioso, um atacante remoto não autenticado poderia provocar a recusa de serviço ou a execução de código arbitrário com privilégios de sistema. Estes problemas não afetam os sistemas OS X Lion.
ID CVE
CVE-2012-0870: Andy Davis da NGS Secure
CVE-2012-1182: um investigador anónimo em colaboração com o programa Zero Day Initiative da HP
-
Estrutura de segurança
Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: um atacante remoto poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros na estrutura de segurança. O processamento de entradas não fidedignas com a estrutura de segurança poderia resultar na corrupção de memória. Este problema não afeta processos de 32 bits.
ID CVE
CVE-2012-0662: aazubel em colaboração com o programa Zero Day Initiative da HP
-
Time Machine
Disponível para: OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: um atacante remoto poderá aceder às credenciais de cópia de segurança do Time Machine de um utilizador
Descrição: o utilizador poderá designar um volume Time Capsule ou AFP remoto associado a uma estação-base AirPort como destino das cópias de segurança do Time Machine. Desde a Atualização 7.6 de firmware da estação-base AirPort e do Time Capsule que os dispositivos Time Capsule e as estações-base suportam um mecanismo de autenticação baseado em SRP seguro através de AFP. No entanto, o Time Machine não requeria que o mecanismo de autenticação baseado em SRP fosse utilizado para operações de cópia de segurança subsequentes, mesmo que o Time Machine tivesse sido inicialmente configurado ou tivesse contactado um Time Capsule ou uma estação-base que o suportasse. Um atacante capaz de se infiltrar no volume remoto poderia aceder às credenciais do Time Capsule do utilizador enviadas pelo sistema deste, mas não a dados de cópias de segurança. Este problema foi resolvido através da obrigatoriedade de utilização do mecanismo de autenticação baseado em SRP, caso o destino de cópia de segurança o tenha suportado.
ID CVE
CVE-2012-0675: Renaud Deraison da Tenable Network Security, Inc.
-
X11
Disponível para: OS X Lion v10.7 até v10.7.3, OS X Lion Server v10.7 até v10.7.3
Impacto: as aplicações que utilizam o libXfont para processar dados comprimidos em LZW poderão ser vulneráveis ao encerramento inesperado de uma aplicação ou a uma execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de dados comprimidos em LZW por parte do libXfont. Este problema é resolvido através da atualização do libXfont para a versão 1.4.4.
ID CVE
CVE-2011-2895: Tomas Hoger da Red Hat
Nota: para além disso, esta atualização filtra variáveis dinâmicas de ambiente do elemento de ligação a partir de uma lista personalizada de propriedades do ambiente no diretório pessoal do utilizador, se existir.