Esta atualização pode ser descarregada e instalada através da Actualização de software ou a partir do site do Suporte da Apple.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.
Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple."
Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
- 

- 

CFNetwork HTTPProtocol

Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 e OS X Mavericks 10.9.2

Impacto: um atacante numa posição privilegiada na rede pode obter credenciais para um site

Descrição: os cabeçalhos HTTP definidos por cookies eram processados mesmo se a ligação fosse encerrada antes de a linha do cabeçalho estar completa. Um atacante poderia desativar as definições de segurança a partir do cookie, forçando a ligação a encerrar antes de as definições de segurança serem enviadas, e obter o valor do cookie não protegido. Este problema foi resolvido ignorando linhas HTTP incompletas nos cabeçalhos.

ID CVE

CVE-2014-1296: Antoine Delignat-Lavaud da Prosecco na Inria Paris

 

- 

- 

CoreServicesUIAgent

Disponível para: OS X Mavericks 10.9.2

Impacto: visitar um site ou URL criado com intuito malicioso poderá provocar o encerramento inesperado de aplicações ou a execução de código arbitrário

Descrição: existia um problema de cadeia de formato no processamento de URL. Este problema foi resolvido através da validação adicional de URL. Este problema não afeta os sistemas anteriores ao OS X Mavericks.

ID CVE

CVE-2014-1315: Lukasz Pilorz da runic.pl, Erik Kooistra

 

- 

- 

FontParser

Disponível para: OS X Mountain Lion v10.8.5

Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado de aplicações ou a execução de código arbitrário

Descrição: existia um problema de ultrapassagem do limite mínimo de memória intermédia no processamento de tipos de letra em ficheiros PDF. Este problema foi resolvido através da verificação adicional dos limites. Este problema não afeta os sistemas OS X Mavericks.

ID CVE

CVE-2013-5170: Will Dormann da CERT/CC

 

- 

- 

Heimdal Kerberos

Disponível para: OS X Mavericks 10.9.2

Impacto: um atacante remoto poderá conseguir causar uma recusa do serviço

Descrição: existia uma interrupção acessível no processamento de dados ASN.1. Este problema foi resolvido através da validação adicional de dados ASN.1.

ID CVE

CVE-2014-1316: Joonas Kuorilehto da Codenomicon

 

- 

- 

ImageIO

Disponível para: OS X Mavericks 10.9.2

Impacto: visualizar uma imagem JPEG criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no processamento das imagens JPEG pelo ImageIO. Este problema foi resolvido através de uma melhor verificação dos limites. Este problema não afeta os sistemas anteriores ao OS X Mavericks.

ID CVE

CVE-2014-1319: Cristian Draghici da Modulo Consulting, Karl Smith da NCC Group

 

- 

- 

Intel Graphics Driver

Disponível para: OS X Mountain Lion v10.8.5 e OS X Mavericks 10.9.2

Impacto: uma aplicação maliciosa pode tomar controlo do sistema

Descrição: existia um problema de validação no processamento de um indicador no espaço do utilizador. Este problema foi resolvido através da validação adicional dos indicadores.

ID CVE

CVE-2014-1318: Ian Beer da Google Project Zero em parceria com a Zero Day Initiative da HP

 

- 

- 

IOKit Kernel

Disponível para: OS X Mavericks 10.9.2

Impacto: um utilizador local pode ler os indicadores do kernel, que podem ser utilizados para ignorar a aleatoriedade dos espaços dos modelos de endereços do kernel

Descrição: um conjunto de indicadores do kernel armazenados num objeto IOKit podia ser recuperado do espaço do utilizador. O problema foi resolvido através da remoção dos indicadores do objeto.

ID CVE

CVE-2014-1320: Ian Beer do Google Project Zero em colaboração com a Zero Day Initiative da HP

 

- 

- 

Kernel

Disponível para: OS X Mavericks 10.9.2

Impacto: um utilizador local pode ler um indicador do kernel, o qual pode ser utilizado para ignorar a aleatoriedade dos espaços dos modelos de endereços do kernel

Descrição: um indicador do kernel armazenado num objeto XNU podia ser recuperado no espaço do utilizador. Este problema foi resolvido através da remoção do indicador do objeto.

ID CVE

CVE-2014-1322: Ian Beer da Google Project Zero

 

- 

- 

Gestão de energia

Disponível para: OS X Mavericks 10.9.2

Impacto: o ecrã poderá não bloquear

Descrição: se premisse uma tecla ou se tocasse no trackpad depois de fechar a tampa, o sistema podia tentar reativar enquanto entrava em modo de pausa, o que faria com que o ecrã não bloqueasse. Este problema foi resolvido ignorando as teclas premidas quando o computador entra em modo de pausa. Este problema não afeta os sistemas anteriores ao OS X Mavericks.

ID CVE

CVE-2014-1321: Paul Kleeberg da Stratis Health Bloomington MN, Julian Sincu da Baden-Wuerttemberg Cooperative State University (DHBW Stuttgart), Gerben Wierda da R&A, Daniel Luz

 

- 

- 

Ruby

Disponível para: OS X Mavericks 10.9.2

Impacto: a execução de um script Ruby que utiliza identificadores YAML não fidedignos poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de identificadores YAML pelo LibYAML. Este problema foi resolvido através da validação adicional de identificadores YAML. Este problema não afeta os sistemas anteriores ao OS X Mavericks.

ID CVE

CVE-2013-6393

 

- 

- 

Ruby

Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 e OS X Mavericks 10.9.2

Impacto: a execução de um script Ruby que utilize entradas não fidedignas para criar um objeto Float poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

Descrição: existia um problema ultrapassagem do limite máximo de memória intermédia na área dinâmica para dados no Ruby ao converter uma cadeia para um valor de ponto flutuante. Este problema foi resolvido através da validação adicional dos valores de ponto flutuantes.

ID CVE

CVE-2013-4164

 

- 

- 

Segurança - Transporte seguro

Disponível para: OS X Mountain Lion v10.8.5 e OS X Mavericks 10.9.2

Impacto: um atacante com uma posição de rede privilegiada poderá captar dados ou alterar as operações efetuadas em sessões protegidas por SSL

Descrição: num ataque "triple handshake", era possível para o atacante estabelecer duas ligações que tinham as mesmas chaves de cifragem e handshake, inserir os dados do atacante numa ligação e renegociar para que as ligações pudessem ser reencaminhadas uma para a outra. Para impedir ataques baseados neste cenário, o Transporte seguro foi alterado para que, por predefinição, a renegociação apresente o mesmo certificado de servidor, tal como apresentado na ligação original. Este problema não afeta os sistemas Mac OS X 10.7 e anterior.

ID CVE

CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan e Alfredo Pironti da Prosecco na Inria Paris

 

- 

- 

WindowServer

Disponível para: OS X Mountain Lion v10.8.5 e OS X Mavericks 10.9.2

Impacto: as aplicações criadas com intuito malicioso podem executar o código arbitrário fora da sandbox

Descrição: as sessões do WindowServer podiam ser criadas pelas aplicações na sandbox. Este problema foi resolvido através da proibição de criação de sessões do WindowServer às aplicações na sandbox.

ID CVE

CVE-2014-1314: KeenTeam em parceria com a Zero Day Initiative da HP

 

- 



Nota: a Atualização de segurança 2014-002 para os sistemas do OS X Mavericks inclui os conteúdos de segurança do Safari 7.0.3.