Este documento descreve os conteúdos de segurança do OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 e da Atualização de segurança 2012-004.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a Segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.
Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple."
Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras Actualizações de segurança, consulte o artigo "Actualizações de segurança da Apple".
OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 e Atualização de segurança 2012-004
Nota: o OS X Mountain Lion v10.8.2 inclui os conteúdos do Safari 6.0.1. Para obter mais detalhes, consulte o artigo Acerca dos conteúdos de segurança do Safari 6.0.1.
- 

- 

Apache

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: várias vulnerabilidades no Apache

Descrição: o Apache é atualizado para a versão 2.2.22 para resolver várias vulnerabilidades, a mais grave das quais poderá levar a uma recusa de serviço. Estão disponíveis mais informações no site do Apache, em http://httpd.apache.org/. Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2011-3368

CVE-2011-3607

CVE-2011-4317

CVE-2012-0021

CVE-2012-0031

CVE-2012-0053

 

- 

- 

BIND

Disponível para: OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: um atacante remoto poderá provocar uma negação de serviço em sistemas configurados para executar o BIND como um nome de servidor DNS

Descrição: ocorreu um problema de afirmação acessível no processamento de registos DNS. Este problema foi resolvido com a atualização para o BIND 9.7.6-P1. Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2011-4313

 

- 

- 

BIND

Disponível para: OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 até v10.7.4, OS X Mountain Lion v10.8 e v10.8.1

Impacto: um atacante remoto poderá provocar uma negação de serviço, a corrupção de dados ou obter informações confidenciais a partir da memória de processamento em sistemas configurados para executar o BIND como um nome de servidor DNS

Descrição: ocorreu um problema de gestão da memória no processamento de registos de DNS. Este problema foi resolvido com a atualização para o BIND 9.7.6-P1 em sistemas OS X Lion e para o BIND 9.8.3-P1 em sistemas OS X Mountain Lion.

ID CVE

CVE-2012-1667

 

- 

- 

CoreText

Disponível para: OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: as aplicações que utilizam CoreText poderão estar vulneráveis ao encerramento inesperado da aplicação ou à execução de código arbitrário

Descrição: ocorreu um problema de verificação de limites no processamento de imagens de texto, o que poderá levar a leituras ou escritas da memória fora dos limites. Este problema foi resolvido através de uma melhor verificação dos limites. Este problema não afeta o Mac OS X v10.6 ou os sistemas OS X Mountain Lion.

ID CVE

CVE-2012-3716: Jesse Ruderman da Mozilla Corporation

 

- 

- 

Segurança de dados

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4, OS X Mountain Lion v10.8 e v10.8.1

Impacto: um atacante com uma posição privilegiada na rede poderá intercetar credenciais de utilizador ou outras informações sensíveis

Descrição: o TrustWave, uma raiz CA fiável, emitiu e subsequentemente revogou um certificado sub-CA de uma das suas âncoras fiáveis. Este sub-CA facilitou a interceção de comunicações protegidas pela Transport Layer Security (TLS – Segurança da camada de transporte). Esta atualização adiciona o certificado sub-CA em questão à lista de certificados não fidedignos do OS X.

 

- 

- 

Serviço de directório

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: se o Proxy do Serviço de directório for utilizado, um atacante remoto poderá provocar uma recusa de serviço ou a execução de código arbitrário

Descrição: ocorreu uma ultrapassagem do limite máximo de memória intermédia no Proxy do Serviço de directório. Este problema foi resolvido através de uma melhor verificação dos limites. Este problema não afeta os sistemas OS X Lion e Mountain Lion.

ID CVE

CVE-2012-0650: aazubel em colaboração com o programa Zero Day Initiative da HP

 

- 

- 

ImageIO

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: visualizar uma imagem PNG criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

Descrição: ocorreram vários problemas de danos na memória no processamento de imagens PNG por parte do libpng. Estes problemas foram resolvidos através de uma validação melhorada de imagens PNG. Estes problemas não afetam os sistemas OS X Mountain Lion.

ID CVE

CVE-2011-3026: Jüri Aedla

CVE-2011-3048

 

- 

- 

ImageIO

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: a visualização de uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

Descrição: ocorreu um problema de ultrapassagem do limite máximo de números inteiros no processamento de imagens TIFF por parte do libTIFF. Este problema foi resolvido através de uma melhor validação de imagens TIFF. Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2012-1173: Alexander Gavrun em colaboração com o programa Zero Day Initiative da HP

 

- 

- 

Instalador

Disponível para: OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: administradores remotos e pessoas com acesso físico ao sistema poderão obter informações de contas

Descrição: a correção para o CVE-2012-0652 no OS X Lion 10.7.4 impedia as palavras-passe dos utilizadores de ficarem gravadas no registo do sistema, mas não removia as entradas antigas do registo. Este problema foi resolvido apagando os ficheiros de registo antigos que continham palavras-passe. O problema não afeta os sistemas Mac OS X 10.6 ou o OS X Mountain Lion.

ID CVE

CVE-2012-0652

 

- 

- 

Componentes internacionais para Unicode

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: as aplicações que utilizam ICU poderão estar vulneráveis ao encerramento inesperado da aplicação ou à execução de código arbitrário

Descrição: ocorria uma ultrapassagem do limite máximo de memória intermédia no processamento de ID ICU locais. Este problema foi resolvido através de uma melhor verificação dos limites. Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2011-4599

 

- 

- 

Kernel

Disponível para: OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: um programa malicioso poderia ignorar as restrições da sandbox

Descrição: existia um problema de lógica no processamento de chamadas de depuração do sistema. Isto poderá permitir que um programa malicioso obtenha a execução de um código noutros programas com os mesmos privilégios de utilizador. Este problema foi resolvido desativando o processamento de endereços em PT_STEP e PT_CONTINUE. Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2012-0643: Dream Team do iOS Jailbreak

 

- 

- 

Janela de início de sessão

Disponível para: OS X Mountain Lion v10.8 e v10.8.1

Impacto: um utilizador local poderá obter as palavras-passe de início de sessão de outro utilizador

Descrição: um método de entrada instalado por um utilizador podia intercetar os toques nas teclas ao introduzir palavras-passe a partir da Janela de início de sessão ou do Desbloqueio da protecção de ecrã. Este problema foi resolvido impedindo a utilização dos métodos instalados pelo utilizador quando o sistema processa informações de início de sessão.

ID CVE

CVE-2012-3718: Lukhnos Liu

 

- 

- 

Mail

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: visualizar uma mensagem de e-mail poderá levar à execução de plug-ins da web

Descrição: existia um erro de validação de entrada no processamento de plug-ins da web incorporados por parte do Mail. Este problema foi resolvido desativando os plug-ins de terceiros no Mail. Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2012-3719: Will Dormann da CERT/CC

 

- 

- 

Contas móveis

Disponível para: OS X Mountain Lion v10.8 e v10.8.1

Impacto: um utilizador com acesso aos conteúdos de uma conta móvel poderá obter a palavra-passe da conta

Descrição: criar uma conta móvel guardava um duplicado da palavra-passe na conta, que era utilizado para iniciar sessão quando a conta móvel era utilizada como uma conta externa. O duplicado da palavra-passe podia ser utilizado para determinar a palavra-passe do utilizador. O problema foi resolvido criando um duplicado da palavra-passe, mas apenas se as contas externas estiverem ativadas no sistema onde a conta móvel foi criada

ID CVE

CVE-2012-3720: Harald Wagener da Google, Inc.

 

- 

- 

PHP

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4, OS X Mountain Lion v10.8 e v10.8.1

Impacto: várias vulnerabilidades no PHP

Descrição: >o PHP é atualizado para a versão 5.3.15 para resolver várias vulnerabilidades, a mais grave das quais poderá provocar a execução de código arbitrário. Estão disponíveis mais informações no site do PHP em http://www.php.net/

ID CVE

CVE-2012-0831

CVE-2012-1172

CVE-2012-1823

CVE-2012-2143

CVE-2012-2311

CVE-2012-2386

CVE-2012-2688

 

- 

- 

PHP

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: os scripts PHP que utilizam libpng poderão estar vulneráveis ao encerramento inesperado da aplicação ou à execução de código arbitrário

Descrição: ocorreu um problema de corrupção de memória no processamento de ficheiros PNG. O problema foi resolvido atualizando a cópia do libpng do PHP para a versão 1.5.10. Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2011-3048

 

- 

- 

Gestor de perfis

Disponível para: OS X Lion Server v10.7 até v10.7.4

Impacto: um utilizador não autenticado podia enumerar dispositivos geridos

Descrição: ocorreu um problema de autenticação na interface privada da Gestão de dispositivos. Este problema foi resolvido removendo a interface.

Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2012-3721: Derick Cassidy da XEquals Corporation

 

- 

- 

Vista rápida

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: visualizar um ficheiro .pict criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

Descrição: existia um problema de corrupção de memória no processamento de ficheiros .pict. Este problema foi resolvido através de uma melhor validação dos ficheiros .pict. Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon) da Qualys Vulnerability & Malware Research Labs (VMRL)

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento do código arbitrário "sean atoms" por parte do QuickTime. Este problema foi resolvido através de uma melhor verificação dos limites. Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2012-0670: Tom Gallagher (Microsoft) e Paul Bates (Microsoft) em colaboração com o programa Zero Day Initiative da HP

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

Descrição: existia um problema de acesso à memória não inicializada no processamento de ficheiros de filmes com codificação Sorenson. Este problema foi resolvido através da melhoria da inicialização da memória. Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2012-3722: Will Dormann da CERT/CC

 

- 

- 

QuickTime

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

Descrição: existia uma ultrapassagem do limite máximo de memória intermédia no processamento dos ficheiros de filme com codificação RLE. Este problema foi resolvido através de uma melhor verificação dos limites. Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2012-0668: Luigi Auriemma em colaboração com o programa Zero Day Initiative da HP

 

- 

- 

Ruby

Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: um atacante poderá conseguir decifrar dados protegidos por SSL

Descrição: ocorriam ataques à confidencialidade do SSL 3.0 e TLS 1.0 enquanto um conjunto de cifras utilizava uma cifra de bloqueio em modo CBC. O módulo Ruby OpenSSL desativou a medida de prevenção "empty fragment" que impediu estes ataques. Este problema foi resolvido através da ativação da medida de prevenção "empty fragment". Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2011-3389

 

- 

- 

USB

Disponível para: OS X Lion v10.7 até v10.7.4, OS X Lion Server v10.7 até v10.7.4

Impacto: anexar um dispositivo USB poderá provocar o encerramento inesperado do sistema ou a execução de código arbitrário

Descrição: existia um problema de corrupção da memória no processamento de descritores de hub USB. O problema foi resolvido através de um melhor processamento do campo do descritor bNbrPorts. Este problema não afeta os sistemas OS X Mountain Lion.

ID CVE

CVE-2012-3723: Andy Davis da NGS Secure