Sobre os conteúdos de segurança do OS X Mountain Lion v10.8.5 e da Atualização de segurança 2013-004

Este documento descreve os conteúdos de segurança do OS X Mountain Lion v10.8.5 e da Atualização de segurança 2013-004.

Estas podem ser descarregadas e instaladas através das preferências da Actualização de software ou das Descargas da Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple".

Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple". 

OS X Mountain Lion v10.8.5 e Atualização de segurança 2013-004

  • Apache

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: várias vulnerabilidades no Apache

    Descrição: existiam várias vulnerabilidades no Apache, a mais grave das quais poderá originar a execução de scripts entre sites. Estes problemas foram resolvidos através da atualização do Apache para a versão 2.2.24.

    ID CVE

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: várias vulnerabilidades no BIND

    Descrição: existiam várias vulnerabilidades no BIND, a mais grave das quais poderá originar uma negação de serviço. Estes problemas foram resolvidos através da atualização do BIND para a versão 9.8.5-P1. CVE-2012-5688 não afetou os sistemas Mac OS X v10.7.

    ID CVE

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Política de confiança de certificados

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: os certificados raiz foram atualizados

    Descrição: vários certificados foram adicionados ou removidos da lista de raízes do sistema. A lista completa de raízes do sistema reconhecidas pode ser consultada através da aplicação Acesso a porta-chaves.

  • ClamAV

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    Impacto: várias vulnerabilidades no ClamAV

    Descrição: existiam várias vulnerabilidades no ClamAV, a mais grave das quais poderá provocar a execução de código arbitrário. Estes problemas foram resolvidos através da atualização do ClamAV para a versão 0.97.8.

    ID CVE

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: visualizar um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de dados codificados JBIG2 em ficheiros PDF. Este problema foi resolvido através da verificação adicional dos limites.

    ID CVE

    CVE-2013-1025 : Felix Groebert da Equipa de Segurança da Google

  • ImageIO

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: visualizar um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de dados codificados JPEG2000 em ficheiros PDF. Este problema foi resolvido através da verificação adicional dos limites.

    ID CVE

    CVE-2013-1026 : Felix Groebert da Equipa de Segurança da Google

  • Instalador

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: os pacotes podiam ser abertos depois da revogação dos certificados

    Descrição: quando o instalador encontrava um certificado revogado, apresentava um diálogo com uma opção para continuar. O problema foi resolvido removendo o diálogo e recusando qualquer pacote revogado.

    ID CVE

    CVE-2013-1027

  • IPSec

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: um atacante poderá intercetar dados protegidos com o IPSec Hybrid Auth

    Descrição: o nome DNS de um servidor IPSec Hybrid Auth não estava a ser comparado com o certificado, permitindo a um atacante com um certificado para qualquer servidor fazer-se passar por qualquer outro. Este problema foi resolvido através da verificação correta do certificado.

    ID CVE

    CVE-2013-1028: Alexander Traud da www.traud.de

  • Kernel

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: um utilizador da rede local pode causar uma negação do serviço

    Descrição: uma verificação incorreta do código de análise do pacote IGMP no kernel permitiu a um utilizador enviar pacotes IGMP para o sistema de forma a causar um pânico no kernel. Este problema foi resolvido removendo a verificação.

    ID CVE

    CVE-2013-1029 : Christopher Bohn da PROTECTSTAR INC.

  • Gestão de dispositivos móveis

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: as palavras-passe podem ser divulgadas a outros utilizadores locais

    Descrição: uma palavra-passe foi passada na linha de comando para o mdmclient, o que fez com que fosse visível para outros utilizadores no mesmo sistema. O problema foi resolvido através da comunicação da palavra-passe por um canal.

    ID CVE

    CVE-2013-1030 : Per Olofsson na Universidade de Gothenburg

  • OpenSSL

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: várias vulnerabilidades no OpenSSL

    Descrição: existiam várias vulnerabilidades no OpenSSL, a mais grave das quais poderá fazer com que os dados dos utilizadores sejam divulgados. Estes problemas foram resolvidos através da atualização do OpenSSL para a versão 0.9.8y.

    ID CVE

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: várias vulnerabilidades no PHP

    Descrição: existiam várias vulnerabilidades no PHP, a mais grave das quais poderá originar a execução de código arbitrário. Estes problemas foram corrigidos através da atualização do PHP para a versão 5.3.26.

    ID CVE

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: várias vulnerabilidades no PostgreSQL

    Descrição: existiam várias vulnerabilidades no PostgreSQL, a mais graves das quais poderá levar à corrupção de dados ou ao desvio de privilégios. CVE-2013-1901 não afeta os sistemas OS X Lion. Estes problemas foram resolvidos através da atualização do PostgreSQL para a versão 9.1.9 nos sistemas OS X Mountain Lion e para a versão 9.0.4 nos sistemas OS X Lion.

    ID CVE

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Gestão de energia

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: a proteção de ecrã pode não iniciar após o período de tempo especificado

    Descrição: existia um problema de bloqueio de imposição de energia. Este problema foi resolvido através da melhoria do processamento do bloqueio.

    ID CVE

    CVE-2013-1031

  • QuickTime

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de átomos 'idsc' em ficheiros de filme do QuickTime. Este problema foi resolvido através da verificação adicional dos limites.

    ID CVE

    CVE-2013-1032 : Jason Kratzer em colaboração com iDefense VCP

  • Bloqueio do ecrã

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: um utilizador com acesso à partilha de ecrã poderá ser capaz de contornar o bloqueio do ecrã quando outro utilizador tem sessão iniciada

    Descrição: existia um problema de gestão da sessão do bloqueio do ecrã no processamento de sessões de partilha de ecrãs. Este problema for resolvido através da melhoria do registo das sessões.

    ID CVE

    CVE-2013-1033 : Jeff Grisso da Atos IT Solutions, Sébastien Stormacq

  • sudo

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: um atacante com controlo da conta de administrador de um utilizador poderá conseguir privilégios de raiz sem saber a palavra-passe do utilizador

    Descrição: ao configurar o relógio do sistema, um atacante pode conseguir utilizar o sudo para conseguir privilégios de raiz em sistemas onde o sudo foi utilizado anteriormente. No OS X, apenas os administradores podem alterar o relógio do sistema. Este problema foi resolvido através da verificação da validade do marcador de tempo.

    ID CVE

    CVE-2013-1775

 

  • Nota: o OS X Mountain Lion v10.8.5 também corrige um problema no qual alguns cadeias Unicode podiam fazer com que as aplicações encerrassem inesperadamente.

 

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: