Acerca dos conteúdos de segurança do OS X Mavericks v10.9.4 e da Atualização de segurança 2014-003

Este documento descreve os conteúdos de segurança do OS X Mavericks v10.9.4 e da Atualização de segurança 2014-003.

Esta atualização pode ser descarregada e instalada através da Actualização de software ou a partir do site do Suporte Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a Segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos da Apple.

Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

Nota: o OS X Mavericks 10.9.4 inclui os conteúdos de segurança do Safari 7.0.5.

OS X Mavericks v10.9.4 e Atualização de segurança 2014-003

  • Política de confiança de certificados

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: atualização da política de confiança de certificados

    Descrição: a política de confiança de certificados foi atualizada. A lista completa de certificados pode ser consultada na seguinte ligação: http://support.apple.com/kb/HT6005?viewlocale=pt_PT.

  • copyfile

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: abrir um ficheiro zip criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de troca de bytes fora dos limites no processamento de ficheiros AppleDouble em ficheiros zip. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1370: Chaitanya (SegFault) em colaboração com a iDefense VCP

  • curl

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um atacante remoto poderá conseguir ganhar acesso à sessão de outro utilizador

    Descrição: o cURL reutilizava as ligações NTLM quando estava ativado mais do que um método de autenticação, o que permitia que um atacante tivesse acesso à sessão de outro utilizador.

    ID CVE

    CVE-2014-0015

  • Dock

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: uma aplicação na sandbox poderá ser capaz de contornar as restrições da sandbox

    Descrição: existia um problema de índice de matriz não validado no processamento de mensagens de aplicações pela Dock. Uma mensagem criada maliciosamente poderia causar a desreferenciação de um indicador de função inválido, o que poderia provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

    ID CVE

    CVE-2014-1371: um investigador anónimo em colaboração com o programa Zero Day Initiative da HP

  • Graphics Driver

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: um utilizador local pode ler a memória do kernel, a qual pode ser utilizada para ignorar a aleatoriedade da disposição dos espaços de endereços do kernel

    Descrição: existia um problema de leitura fora dos limites no processamento de uma chamada do sistema. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1372: Ian Beer do Google Project Zero

  • iBooks Commerce

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um atacante com acesso a um sistema poderá ser capaz de recuperar credenciais do ID Apple

    Descrição: existia um problema no processamento de registos do iBooks. O processo iBooks podia registar as credenciais do ID Apple no registo do iBooks onde outros utilizadores do sistema podiam aceder às mesmas. Este problema foi resolvido ao impedir o registo de credenciais.

    ID CVE

    CVE-2014-1317: Steve Dunham

  • Intel Graphics Driver

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de uma chamada OpenGL API. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1373: Ian Beer do Google Project Zero

  • Intel Graphics Driver

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um utilizador local pode ler um indicador do kernel, a qual pode ser utilizado para ignorar a aleatoriedade da disposição dos espaços de endereços do kernel

    Descrição: um indicador do kernel armazenado num objeto IOKit podia ser recuperado do espaço do utilizador. Este problema foi resolvido através da remoção do indicador do objeto.

    ID CVE

    CVE-2014-1375

  • Intel Compute

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de uma chamada OpenCL API. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1376: Ian Beer do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de indexação no IOAcceleratorFamily. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1377: Ian Beer do Google Project Zero

  • IOGraphicsFamily

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um utilizador local pode ler um indicador do kernel, a qual pode ser utilizado para ignorar a aleatoriedade disposição dos espaços de endereços do kernel

    Descrição: um indicador do kernel armazenado num objeto IOKit podia ser recuperado do espaço do utilizador. Este problema foi resolvido utilizando um ID único em vez de um indicador.

    ID CVE

    CVE-2014-1378

  • IOReporting

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um utilizador local podia provocar a reinicialização inesperada do sistema

    Descrição: existia um problema de desreferenciação do indicador nulo no processamento de argumentos API do IOKit. Este problema foi resolvido através da validação adicional de argumentos API do IOKit.

    ID CVE

    CVE-2014-1355: cunzhang de Adlab da Venustech

  • launchd

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite mínimo de números inteiros no launchd. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1359: Ian Beer do Google Project Zero

  • launchd

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia uma ultrapassagem do limite máximo de memória intermédia na área dinâmica para dados no processamento de mensagens IPC por parte do launchd. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1356: Ian Beer do Google Project Zero

  • launchd

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia uma ultrapassagem do limite máximo de memória intermédia na área dinâmica para dados no processamento de mensagens de registo por parte do launchd. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1357: Ian Beer do Google Project Zero

  • launchd

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no launchd. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1358: Ian Beer do Google Project Zero

  • Graphics Drivers

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existiam vários problemas de desreferências nulas nos controladores de gráficos do kernel. Um executável de 32 bits criado com intuito malicioso poderá ter sido capaz de obter privilégios elevados.

    ID CVE

    CVE-2014-1379: Ian Beer do Google Project Zero

  • Segurança – Porta-chaves

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: um atacante poderá ser capaz de introduzir texto em janelas com o ecrã bloqueado

    Descrição: em circunstâncias raras, o bloqueio do ecrã não intercetava teclas. Isto poderia permitir que um atacante introduzisse texto em janelas mesmo com o ecrã bloqueado. Este problema foi resolvido através da melhoria da gestão do observador das teclas.

    ID CVE

    CVE-2014-1380: Ben Langfeld da Mojo Lingo LLC

  • Segurança – Transporte seguro

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3

    Impacto: podem ser divulgados dois bytes de memória a um atacante remoto

    Descrição: existia um problema de acesso de memória não inicializada no processamento de mensagens DTLS numa ligação TLS. Este problema foi resolvido aceitando apenas mensagens DTLS numa ligação DTLS.

    ID CVE

    CVE-2014-1361: Thijs Alkemade do The Adium Project

  • Thunderbolt

    Disponível para: OS X Mavericks 10.9 a 10.9.3

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de acesso de memória fora dos limites no processamento de chamadas IOThunderBoltController API. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1381: Catherine aka winocm

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: