Acerca dos conteúdos de segurança do OS X Mountain Lion v10.8.3 e da Atualização de segurança 2013-001

Este documento descreve os conteúdos de segurança do OS X Mountain Lion v10.8.3 e da Atualização de segurança 2013-001.

O OS X Mountain Lion v10.8.3 e a Atualização de segurança 2013-001 podem ser descarregados e instalados através das preferências da Atualização de software ou a partir da página Descargas Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras Atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

Nota: o OS X Mountain Lion v10.8.3 inclui os conteúdos do Safari 6.0.3. Para obter informações adicionais, consulte o artigo Acerca dos conteúdos de segurança do Safari 6.0.3.

OS X Mountain Lion v10.8.3 e Atualização de segurança 2013-001

  • Apache

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: um atacante poderá ser capaz de aceder a diretórios que estão protegidos por autenticação HTTP sem saber as credenciais corretas

    Descrição: existia um problema de colocação em forma canónica no processamento de URI com sequências de caracteres Unicode ignoráveis. Este problema foi resolvido através da atualização do mod_hfs_apple para proibir o acesso a URI com sequências de caracteres Unicode ignoráveis.

    ID CVE

    CVE-2013-0966: Clint Ruoho da Laconic Security

  • CoreTypes

    Disponível para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: aceder a um site criado com intuito malicioso poderia permitir que uma aplicação Java Web Start fosse iniciada automaticamente, mesmo que o plug-in Java estivesse desativado

    Descrição: as aplicações Java Web Start eram executadas mesmo que o plug-in Java estivesse desativado. Este problema foi resolvido através da remoção dos ficheiros JNLP da lista de tipos de ficheiros seguros da CoreTypes para que a aplicação Web Start não seja iniciada, a não ser que o utilizador a abra a partir do diretório Descargas.

    ID CVE

    CVE-2013-0967

  • Componentes internacionais para Unicode

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: aceder a um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: existia um problema de colocação em forma canónica no processamento da codificação EUC-JP, o que poderia levar a um ataque de execução de scripts em sites codificados com EUC-JP. Este problema foi resolvido através da atualização da tabela de mapeamento de EUC-JP.

    ID CVE

    CVE-2011-3058: Masato Kinugawa

  • Serviços de identificação

    Disponível para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: a autenticação que depende de autenticações com o ID Apple baseadas em certificados poderá ser ignorada

    Descrição: existia um problema no processamento de um erro nos Serviços de identificação. Se o certificado do ID Apple do utilizador não pudesse ser validado, o ID Apple do utilizador era lido como um campo vazio. Se vários sistemas pertencentes a diferentes utilizadores introduzirem este estado, as aplicações que dependem desta determinação de identificação poderão criar confiança erradamente. Este problema foi resolvido ao assegurar que volta ao estado NULL em vez de um campo vazio.

    ID CVE

    CVE-2013-0963

  • ImageIO

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: visualizar um ficheiro TIFF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de imagens TIFF por parte do libtiff. Este problema foi resolvido através da validação adicional de imagens TIFF.

    ID CVE

    CVE-2012-2088

  • IOAcceleratorFamily

    Disponível para: OS X Mountain Lion v10.8 a v10.8.2

    Impacto: visualizar uma imagem criada com intuito malicioso poderá provocar o encerramento inesperado do sistema ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de dados gráficos. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2013-0976: um investigador anónimo

  • Kernel

    Disponível para: OS X Mountain Lion v10.8 a v10.8.2

    Impacto: as aplicações comprometidas ou criadas com intuito malicioso poderão ser capazes de determinar endereços no kernel

    Descrição: existia um problema de divulgação de informações no processamento de API relacionadas com extensões de kernel. As respostas que contenham uma chave OSBundleMachOHeaders poderão ter incluídos endereços de kernel, o que poderá ajudar a contornar a proteção de aleatoriedade de esquema de espaços de endereços. Este problema foi resolvido travando os endereços antes de os devolver.

    ID CVE

    CVE-2012-3749: Mark Dowd da Azimuth Security, Eric Monti da Square e outros investigadores anónimos

  • Janela de início de sessão

    Disponível para: OS X Mountain Lion v10.8 a v10.8.2

    Impacto: um atacante com acesso ao teclado poderá modificar a configuração do sistema

    Descrição: existia um erro lógico no processamento da Janela de início de sessão pelo VoiceOver, que fazia com que um atacante com acesso ao teclado pudesse aceder às Preferências do sistema e modificar a configuração do sistema. Este problema foi resolvido impedindo que o VoiceOver iniciasse aplicações na Janela de início de sessão.

    ID CVE

    CVE-2013-0969: Eric A. Schulman de Purpletree Labs

  • Mensagens

    Disponível para: OS X Mountain Lion v10.8 a v10.8.2

    Impacto: clicar numa ligação das Mensagens poderá iniciar uma chamada FaceTime sem pedido de confirmação

    Descrição: clicar num URL FaceTime:// especialmente formatado nas Mensagens poderá fazer com que não seja pedida a confirmação. Este problema foi resolvido através da validação adicional de URL FaceTime://.

    ID CVE

    CVE-2013-0970: Aaron Sigel da vtty.com

  • Servidor das Mensagens

    Disponível para: Mac OS X Server 10.6.8, OS X Lion Server v10.7 a v10.7.5

    Impacto: um atacante remoto poderá redirecionar mensagens Jabber associadas

    Descrição: existia um problema no servidor da Jabber com o processamento de mensagens de resultado de retorno. Um atacante poderá fazer com que o servidor Jabber divulgue informações acessíveis apenas aos utilizadores de servidores associados. Este problema foi resolvido através da melhoria do processamento de mensagens de resultado de retorno.

    ID CVE

    CVE-2012-3525

  • PDFKit

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: a visualização de um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de utilização após libertação de memória no processamento de anotações a tinta nos ficheiros PDF. Este problema foi resolvido através da melhoria da gestão da memória.

    ID CVE

    CVE-2013-0971: Tobias Klein em colaboração com o programa Zero Day Initiative da HP TippingPoint

  • Podcast Producer Server

    Disponível para: Mac OS X Server 10.6.8, OS X Lion Server v10.7 a v10.7.5

    Impacto: um atacante remoto poderá conseguir provocar a execução de um código arbitrário

    Descrição: existia um problema de type casting no processamento dos parâmetros XML por parte do Ruby on Rails. Este problema foi resolvido desativando os parâmetros XML na implementação do Rails, utilizada pelo Podcast Producer Server.

    ID CVE

    CVE-2013-0156

  • Podcast Producer Server

    Disponível para: OS X Lion Server v10.7 a v10.7.5

    Impacto: um atacante remoto poderá conseguir provocar a execução de um código arbitrário

    Descrição: existia um problema de type casting no processamento de dados JSON por parte do Ruby on Rails. Este problema foi resolvido através da substituição pelo backend de JSONGem para a análise JSON na implementação do Rails, utilizada pelo Podcast Producer Server.

    ID CVE

    CVE-2013-0333

  • PostgreSQL

    Disponível para: Mac OS X Server 10.6.8, OS X Lion Server v10.7 a v10.7.5

    Impacto: várias vulnerabilidades no PostgreSQL

    Descrição: o PostgreSQL foi atualizado para a versão 9.1.5 para resolver várias vulnerabilidades. A mais grave poderia permitir que os utilizadores da base de dados lessem ficheiros do sistema de ficheiros com os privilégios da conta do papel de servidor da base de dados. Pode obter informações adicionais no site do PostgreSQL, em http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

    ID CVE

    CVE-2012-3488

    CVE-2012-3489

  • Gestor de perfis

    Disponível para: OS X Lion Server v10.7 a v10.7.5

    Impacto: um atacante remoto poderá conseguir provocar a execução de um código arbitrário

    Descrição: existia um problema de type casting no processamento dos parâmetros XML por parte do Ruby on Rails. Este problema foi resolvido desativando os parâmetros XML na implementação do Rails, utilizada pelo Gestor de perfis.

    ID CVE

    CVE-2013-0156

  • QuickTime

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de caixas 'rnet' em ficheiros MP4. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2012-3756: Kevin Szkudlapski da QuarksLab

  • Ruby

    Disponível para: Mac OS X Server 10.6.8

    Impacto: um atacante remoto poderá causar a execução de um código arbitrário se uma aplicação Rails estiver ativa

    Descrição: existia um problema de type casting no processamento dos parâmetros XML por parte do Ruby on Rails. Este problema foi resolvido desativando o YAML e os símbolos nos parâmetros XML no Rails.

    ID CVE

    CVE-2013-0156

  • Segurança

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: um atacante com uma posição privilegiada na rede poderá intercetar credenciais de utilizador ou outras informações sensíveis

    Descrição: vários certificados de AC intermédios foram erradamente alterados pela TURKTRUST. Esta situação poderá permitir que um atacante "man-in-the-middle" (através de intermediários) redirecione ligações e intercete credenciais de utilizador ou outras informações sensíveis. Este problema foi resolvido ao não permitir os certificados SSL incorretos.

  • Atualização de software

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5

    Impacto: um atacante com uma posição privilegiada na rede poderá causar a execução de um código arbitrário

    Descrição: a Atualização de software permitia que um atacante "man in the middle" (através de intermediários) inserisse conteúdos de plug-in no texto de promoção apresentado nas atualizações. Isto poderá dar origem à exploração de um plug-in vulnerável ou facilitar ataques de engenharia social que envolvam plug-ins. Este problema não afeta os sistemas OS X Mountain Lion. Este problema foi resolvido impedindo os plug-ins de carregarem na Vista web do texto de promoção da Atualização de software.

    ID CVE

    CVE-2013-0973: Emilio Escobar

  • Wiki Server

    Disponível para: OS X Lion Server v10.7 a v10.7.5

    Impacto: um atacante remoto poderá conseguir provocar a execução de um código arbitrário

    Descrição: existia um problema de type casting no processamento dos parâmetros XML por parte do Ruby on Rails. Este problema foi resolvido desativando os parâmetros XML na implementação do Rails, utilizada pelo Wiki Server.

    ID CVE

    CVE-2013-0156

  • Wiki Server

    Disponível para: OS X Lion Server v10.7 a v10.7.5

    Impacto: um atacante remoto poderá conseguir provocar a execução de um código arbitrário

    Descrição: existia um problema de type casting no processamento de dados JSON por parte do Ruby on Rails. Este problema foi resolvido através da substituição pelo backend de JSONGem para a análise JSON na implementação Rails utilizada pelo Wiki Server.

    ID CVE

    CVE-2013-0333

  • Remoção de malware

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Descrição: esta atualização executa uma ferramenta de remoção de malware que irá remover as variantes mais comuns de malware. Se for encontrado malware, aparece uma caixa de diálogo a avisar o utilizador de que o malware foi removido. O utilizador não será notificado caso o malware não seja encontrado.

 

O FaceTime não está disponível em todos os países ou regiões.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: