Acerca dos conteúdos de segurança do OS X Mavericks v10.9.2 e da Atualização de segurança 2014-001

Este documento descreve os conteúdos de segurança do OS X Mavericks v10.9.2 e da Atualização de segurança 2014-001.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple."

Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

Esta atualização pode ser descarregada e instalada através da Actualização de software ou a partir do site do Suporte Apple.

OS X Mavericks 10.9.2 e Atualização de segurança 2014-001

  • Apache

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: várias vulnerabilidades no Apache

    Descrição: existiam várias vulnerabilidades no Apache, a mais grave das quais poderia originar a execução de scripts entre sites. Estes problemas foram resolvidos através da atualização do Apache para a versão 2.2.26.

    ID CVE

    CVE-2013-1862

    CVE-2013-1896

  • App Sandbox

    Disponível para: OS X Mountain Lion v10.8.5

    Impacto: a App Sandbox poderá ser ignorada

    Descrição: a interface dos LaunchServices para abrir uma aplicação permitia que as apps na sandbox especificassem a lista de argumentos transmitida ao novo processo. Uma aplicação comprometida da sandbox podia abusar desta ação para ignorar a sandbox. Este problema foi resolvido através da proibição de especificação de argumentos às aplicações na sandbox. Este problema não afeta sistemas com o OS X Mavericks 10.9 ou posterior.

    ID CVE

    CVE-2013-5179: Friedrich Graeter da The Soulmen GbR

  • ATS

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: visualizar ou descarregar um documento que contenha um tipo de letra incorporado criado com intuito malicioso poderá provocar a execução de código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de tipos de letra Type 1. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1254: Felix Groebert da Equipa de segurança da Google

  • ATS

    Disponível para: OS X Mavericks 10.9 e 10.9.1

    Impacto: a App Sandbox poderá ser ignorada

    Descrição: existia um problema de corrupção de memória no processamento de mensagens Mach passadas para ATS. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1262: Meder Kydyraliev da Equipa de segurança da Google

  • ATS

    Disponível para: OS X Mavericks 10.9 e 10.9.1

    Impacto: a App Sandbox poderá ser ignorada

    Descrição: existia um problema de gratuidade arbitrária no processamento de mensagens Mach passadas para ATS. Este problema foi resolvido através da validação adicional de mensagens Mach.

    ID CVE

    CVE-2014-1255: Meder Kydyraliev da Equipa de segurança da Google

  • ATS

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: a App Sandbox poderá ser ignorada

    Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de mensagens Mach passadas para ATS. Este problema foi resolvido através da verificação adicional dos limites.

    ID CVE

    CVE-2014-1256: Meder Kydyraliev da Equipa de segurança da Google

  • Política de confiança de certificados

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: os certificados raiz foram atualizados

    Descrição: o conjunto de certificados raiz do sistema foi atualizado. A lista completa de raízes do sistema reconhecidas pode ser consultada através da aplicação Acesso a porta-chaves.

  • Cookies da CFNetwork

    Disponível para: OS X Mountain Lion v10.8.5

    Impacto: os cookies da sessão podem continuar armazenados após a reposição do Safari

    Descrição: repor o Safari não apagava sempre os cookies da sessão até que o Safari fosse fechado. Este problema foi resolvido através da melhoria do processamento dos cookies da sessão. Este problema não afeta sistemas com o OS X Mavericks 10.9 ou posterior.

    ID CVE

    CVE-2014-1257: Rob Ansaldo da Amherst College, Graham Bennett

  • CoreAnimation

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia na área dinâmica para dados no processamento de imagens por parte do CoreAnimation. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1258: Karl Smith do NCC Group

  • CoreText

    Disponível para: OS X Mavericks 10.9 e 10.9.1

    Impacto: as aplicações que utilizam CoreText poderão estar vulneráveis ao encerramento inesperado de uma aplicação ou à execução de código arbitrário

    Descrição: existia um problema de signedness no CoreText, no processamento de tipos de letra Unicode. Este problema é resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1261: Lucas Apa e Carlos Mario Penagos do IOActive Labs

  • curl

    Disponível para: OS X Mavericks 10.9 e 10.9.1

    Impacto: um atacante com uma posição privilegiada na rede poderá intercetar credenciais de utilizador ou outras informações sensíveis

    Descrição: aquando da utilização de curl para ligar a um URL de HTTPS com um endereço IP, o mesmo não era validado consoante o certificado. Este problema não afeta os sistemas anteriores ao OS X Mavericks v10.9.

    ID CVE

    CVE-2014-1263: Roland Moriz da Moriz GmbH

  • Segurança de dados

    Disponível para: OS X Mavericks 10.9 e 10.9.1

    Impacto: um atacante com uma posição privilegiada na rede poderá capturar ou modificar dados em sessões protegidas por SSL/TLS

    Descrição: o Transporte seguro não validava a autenticidade da ligação. Este problema foi resolvido através do restauro dos passos de validação em falta.

    ID CVE

    CVE-2014-1266

  • Data e hora

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: um utilizador sem privilégios poderá alterar o relógio do sistema

    Descrição: esta atualização altera o comportamento do

    systemsetup
    comando para pedir privilégios de administrador para mudar o relógio do sistema.

    ID CVE

    CVE-2014-1265

  • Marcador de ficheiros

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: visualizar um ficheiro com um nome criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento dos nomes de ficheiros. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1259

  • Finder

    Disponível para: OS X Mavericks 10.9 e 10.9.1

    Impacto: aceder ao ACL de um ficheiro através do Finder poderá fazer com que outros utilizadores obtenham acesso não autorizado aos ficheiros

    Descrição: aceder ao ACL de um ficheiro através do Finder poderá corromper os ACL do ficheiro. Este problema foi resolvido através da melhoria no processamento de ACL.

    ID CVE

    CVE-2014-1264

  • ImageIO

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: visualizar um ficheiro JPEG criado com intuito malicioso poderá levar à divulgação dos conteúdos da memória

    Descrição: existia um problema de acesso a memória não inicializada no processamento de marcadores JPEG por parte do libjpeg, o que resultava na divulgação dos conteúdos da memória. Este problema foi resolvido através do processamento melhorado de JPEG.

    ID CVE

    CVE-2013-6629: Michal Zalewski

  • IOSerialFamily

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    Impacto: executar uma aplicação maliciosa poderá provocar a execução de código arbitrário no kernel

    Descrição: existia uma matriz com acesso fora dos limites na unidade IOSerialFamily. Este problema foi resolvido através da verificação adicional dos limites. Este problema não afeta sistemas com o OS X Mavericks v10.9 ou posterior.

    ID CVE

    CVE-2013-5139: @dent1zt

  • LaunchServices

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    Impacto: um ficheiro poderá apresentar a extensão errada

    Descrição: existia um problema no processamento de determinados caracteres unicode, o que poderia permitir que os nomes dos ficheiros apresentassem extensões incorretas. Este problema foi resolvido através da filtragem de caracteres unicode não seguros, que deixaram de ser apresentados nos nomes dos ficheiros. Este problema não afeta sistemas com o OS X Mavericks v10.9 ou posterior.

    ID CVE

    CVE-2013-5178: Jesse Ruderman da Mozilla Corporation, Stephane Sudre da Intego

  • Controladores NVIDIA

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: executar uma aplicação maliciosa poderá provocar a execução de código arbitrário na placa gráfica

    Descrição: existia um problema que permitia a escrita para alguma da memória fidedigna na placa gráfica. O problema foi resolvido através da remoção da capacidade do anfitrião de escrever nessa memória.

    ID CVE

    CVE-2013-5986: Marcin Kościelnicki do projeto da X.Org Foundation Nouveau

    CVE-2013-5987: Marcin Kościelnicki do projeto da X.Org Foundation Nouveau

  • PHP

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: várias vulnerabilidades no PHP

    Descrição: existiam várias vulnerabilidades no PHP, a mais grave das quais poderia provocar a execução de código arbitrário. Estes problemas foram resolvidos através da atualização do PHP para a versão 5.4.24, no OS X Mavericks v10.9, e para a versão 5.3.28, no OS X Lion e no Mountain Lion.

    ID CVE

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • Vista rápida

    Disponível para: OS X Mountain Lion v10.8.5

    Impacto: descarregar um ficheiro do Microsoft Office criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros do Microsoft Office por parte da Vista rápida. Descarregar um ficheiro do Microsoft Office malicioso poderá ter provocado o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema não afeta sistemas com o OS X Mavericks 10.9 ou posterior.

    ID CVE

    CVE-2014-1260: Felix Groebert da Equipa de segurança da Google

  • Vista rápida

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: descarregar um documento do Microsoft Word criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de libertação dupla no processamento de documentos do Microsoft Word por parte da Vista rápida. Este problema foi resolvido através da melhoria da gestão da memória.

    ID CVE

    CVE-2014-1252: Felix Groebert da Equipa de segurança da Google

  • QuickTime

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: reproduzir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de átomos "ftab". Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1246: um investigador anónimo em colaboração com o programa Zero Day Initiative da HP

  • QuickTime

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: reproduzir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de átomos "dref". Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1247: Tom Gallagher e Paul Bates em colaboração com o programa Zero Day Initiative da HP

  • QuickTime

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: reproduzir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de átomos "ldat". Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1248: Jason Kratzer em colaboração com a iDefense VCP

  • QuickTime

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: visualizar uma imagem PSD criada com intuito malicioso poderá provocar o encerramento inesperado de aplicações ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento de imagens PSD. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1249: dragonltx da Equipa de segurança da Tencent

  • QuickTime

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: reproduzir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de troca de bytes fora dos limites no processamento de elementos "ttfo". Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1250: Jason Kratzer em colaboração com a iDefense VCP

  • QuickTime

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 e 10.9.1

    Impacto: reproduzir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de assinatura no processamento de átomos "stsz". Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1245: Tom Gallagher e Paul Bates em colaboração com o programa Zero Day Initiative da HP

  • Transporte seguro

    Disponível para: OS X Mountain Lion v10.8.5

    Impacto: um atacante poderá conseguir decifrar dados protegidos por SSL

    Descrição: existiram ataques conhecidos à confidencialidade do SSL 3.0 e do TSL 1.0 quando uma conjunto de cifras utilizada uma cifra de bloqueio em modo CBC. Para resolver estes problemas em aplicações que utilizam o Transporte seguro, foi ativada por predefinição a mitigação do fragmento de 1 byte para esta configuração.

    ID CVE

    CVE-2011-3389: Juliano Rizzo e Thai Duong

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: