Acerca dos conteúdos de segurança do OS X Yosemite v10.10.2 e da Atualização de segurança 2015-001

Este documento descreve os conteúdos de segurança do OS X Yosemite v10.10.2 e da Atualização de segurança 2015-001

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a Segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos da Apple.

Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

OS X Yosemite v10.10.2 e Atualização de segurança 2015-001

  • Servidor AFP

    Disponível para: OS X Mavericks v10.9.5

    Impacto: um atacante remoto poderá determinar todos os endereços de rede do sistema

    Descrição: o servidor de ficheiros AFP suportava um comando que devolvia todos os endereços de rede do sistema. Este problema foi resolvido através da remoção dos endereços do resultado.

    ID CVE

    CVE-2014-4426: Craig Young da Tripwire VERT

  • bash

    Disponível para: OS X Yosemite v10.10 e v10.10.1

    Impacto: várias vulnerabilidades no bash, incluindo uma que poderá permitir a execução de código arbitrário por atacantes locais

    Descrição: existiam várias vulnerabilidades no bash. Estes problemas foram resolvidos atualizando o bash para o nível de correção 57.

    ID CVE

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Disponível para : OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um erro de assinatura de números inteiros no IOBluetootthFamily que permitia a manipulação da memória do kernel. Este problema foi resolvido através de uma melhor verificação dos limites. Este problema não afeta os sistemas OS X Yosemite.

    ID CVE

    CVE-2014-4497

  • Bluetooth

    Disponível para: OS X Yosemite v10.10 e v10.10.1

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um erro no controlador Bluetooth que permitia que uma aplicação maliciosa controlasse o tamanho de escrita na memória do kernel. O problema foi resolvido através de uma validação de entrada adicional.

    ID CVE

    CVE-2014-8836: Ian Beer do Google Project Zero

  • Bluetooth

    Disponível para: OS X Yosemite v10.10 e v10.10.1

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existiam diversos problemas de segurança no controlador Bluetooth que permitiam que uma aplicação maliciosa executasse código arbitrário com privilégios do sistema. Os problemas foram resolvidos através da validação de entrada adicional.

    ID CVE

    CVE-2014-8837: Roberto Paleari e Aristide Fattori da Emaze Networks

  • CFNetwork Cache

    Disponível para: OS X Yosemite v10.10 e v10.10.1

    Impacto: a cache de um site poderá não ser totalmente apagada depois de fechar a navegação privada

    Descrição: ocorria um problema de privacidade onde os dados de navegação permaneciam na cache depois de ser fechada a navegação privada. Este problema foi resolvido com uma alteração do comportamento de caching.

    ID CVE

    CVE-2014-4460

  • CoreGraphics

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de ficheiros PDF. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4481: Felipe Andres Manzano da Binamuse VRT, através do iSIGHT Partners GVP Program

  • Software da CPU

    Disponível para: OS X Yosemite v10.10 e v10.10.1, para MacBook Pro Retina, MacBook Air (meados de 2013 e posterior), iMac (finais de 2013 e posterior), Mac Pro (finais de 2013)

    Impacto: um dispositivo Thunderbolt malicioso poderá afetar a alteração de firmware

    Descrição: os dispositivos Thunderbolt poderão modificar o firmware anfitrião se estiverem ligados durante uma atualização da EFI. Este problema foi resolvido através do não carregamento das ROM de opções durante as atualizações.

    ID CVE

    CVE-2014-4498: Trammell Hudson da Two Sigma Investments

  • CommerceKit Framework

    Disponível para: OS X Yosemite v10.10 e v10.10.1

    Impacto: um atacante com acesso a um sistema poderá ser capaz de recuperar credenciais do ID Apple

    Descrição: existia um problema no processamento de registos da App Store. O processo da App Store podia registar credenciais do ID Apple quando o registo adicional estivesse ativado. Este problema foi resolvido ao impedir o registo de credenciais.

    ID CVE

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    Disponível para: OS X Yosemite v10.10 e v10.10.1

    Impacto: algumas aplicações de terceiros com entrada de texto e eventos para o rato não seguros poderão registar esses eventos

    Descrição: devido à combinação de uma variável não inicializada e do alocador personalizado de uma aplicação, poderão ter sido registados eventos para o rato e entrada de texto não seguros. Este problema foi resolvido assegurando que o registo está desativado por predefinição. Este problema não afetou os sistemas anteriores ao OS X Yosemite.

    ID CVE

    CVE-2014-1595: Steven Michaud da Mozilla em colaboração com Kent Howard

  • CoreGraphics

    Disponível para : OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros PDF. O problema foi resolvido através de uma melhor verificação dos limites. Este problema não afeta os sistemas OS X Yosemite.

    ID CVE

    CVE-2014-8816: Mike Myers da Digital Operatives LLC

  • CoreSymbolication

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existiam vários problemas de confusão do tipo na forma como o coresymbolicationd processava as mensagens XPC. Estes problemas foram resolvidos através de uma melhor verificação dos tipos.

    ID CVE

    CVE-2014-8817: Ian Beer do Google Project Zero

  • FontParser

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: processar um ficheiro .dfont criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros .dfont. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4484: Gaurav Baruah em colaboração com o programa Zero Day Initiative da HP

  • FontParser

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia uma ultrapassagem do limite máximo do buffer no processamento de ficheiros de tipo de letra. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4483: Apple

  • Foundation

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v.10.10 e v10.10.1

    Impacto: visualizar um ficheiro XML criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia uma ultrapassagem do limite máximo do buffer no analisador de XML. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4485: Apple

  • Intel Graphics Driver

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: várias vulnerabilidades no Intel Graphics Driver

    Descrição: existiam várias vulnerabilidades no Intel Graphics Driver, a mais grave das quais poderá ter levado à execução de código arbitrário com privilégios do sistema. Esta atualização resolve os problemas através de uma verificação de limites melhorada.

    ID CVE

    CVE-2014-8819: Ian Beer do Google Project Zero

    CVE-2014-8820: Ian Beer do Google Project Zero

    CVE-2014-8821: Ian Beer do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de desreferenciação do apontador nulo no processamento de determinados tipos de cliente de utilizador do IOService por parte do IOAcceleratorFamily. Este problema foi resolvido através da validação melhorada dos contextos do IOAcceletatorFamily.

    ID CVE

    CVE-2014-4486: Ian Beer do Google Project Zero

  • IOHIDFamily

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia uma ultrapassagem do limite máximo do buffer no IOHIDFamily. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4487: Equipa TaiG Jailbreak

  • IOHIDFamily

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de metadados da fila de recursos por parte do IOHIDFamily. Este problema foi resolvido através da melhoria da validação de metadados.

    ID CVE

    CVE-2014-4488: Apple

  • IOHIDFamily

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia uma desreferenciação do apontador nulo no processamento das filas de eventos do IOHIDFamily. Este problema foi resolvido através da melhoria da validação da inicialização das filas de eventos do IOHIDFamily.

    ID CVE

    CVE-2014-4489: @beist

  • IOHIDFamily

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: a execução de uma aplicação maliciosa poderá resultar na execução de código arbitrário no kernel

    Descrição: existia um problema de verificação de limites num cliente de utilizador fornecido pelo controlador do IOHIDFamily que permitia que uma aplicação maliciosa substituísse partes arbitrárias do espaço de endereço do kernel. Este problema foi resolvido através da remoção do método de cliente de utilizador vulnerável.

    ID CVE

    CVE-2014-8822: Vitaliy Toropov em colaboração com o programa Zero Day Initiative da HP

  • IOKit

    Disponível para: OS X Yosemite v10.10 e v10.10.1

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de funções do IOKit. Este problema foi resolvido através da validação melhorada dos argumentos API do IOKit.

    ID CVE

    CVE-2014-4389: Ian Beer do Google Project Zero

  • IOUSBFamily

    Disponível para: OS X Yosemite v10.10 e v10.10.1

    Impacto: uma aplicação com privilégios poderá ser capaz de ler dados arbitrários da memória do kernel

    Descrição: existia um problema de acesso de memória no processamento de funções do cliente de utilizador do controlador IOUSB. Este problema foi resolvido através da validação de argumentos melhorada.

    ID CVE

    CVE-2014-8823: Ian Beer do Google Project Zero

  • Kerberos

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: a biblioteca libgssapi do Kerberos devolvia um token com apontador não direcionado. Este problema foi resolvido através da melhoria da gestão do estado.

    ID CVE

    CVE-2014-5352

  • Kernel

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: especificar um modo de cache personalizado permitia escrever em segmentos só de leitura da memória partilhada do kernel. Este problema foi resolvido através da não concessão de permissões de escrita como efeito secundário de determinados modos personalizados de cache.

    ID CVE

    CVE-2014-4495: Ian Beer do Google Project Zero

  • Kernel

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de determinados campos de metadados dos objetos IODataQueue. Este problema foi resolvido através da melhoria da validação de metadados.

    ID CVE

    CVE-2014-8824: @PanguTeam

  • Kernel

    Disponível para: OS X Yosemite v10.10 e v10.10.1

    Impacto: um atacante local pode falsificar respostas do serviço de diretório no kernel, aumentar privilégios ou obter execução do kernel

    Descrição: existiam problemas na validação identitysvc do processo de resolução do serviço do diretório, processamento de sinalizadores e processamento de erros. O problema foi resolvido através da melhoria da validação.

    ID CVE

    CVE-2014-8825: Alex Radocea da CrowdStrike

  • Kernel

    Disponível para: OS X Yosemite v10.10 e v10.10.1

    Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel

    Descrição: existiam vários problemas de memória não inicializada na interface de estatísticas de rede, o que provocou a divulgação de conteúdos da memória do kernel. Este problema foi resolvido através da inicialização adicional de memória.

    ID CVE

    CVE-2014-4371: Fermin J. Serna da Equipa de segurança da Google

    CVE-2014-4419: Fermin J. Serna da Equipa de segurança da Google

    CVE-2014-4420: Fermin J. Serna da Equipa de segurança da Google

    CVE-2014-4421: Fermin J. Serna da Equipa de segurança da Google

  • Kernel

    Disponível para: OS X Mavericks v10.9.5

    Impacto: uma pessoa com uma posição privilegiada na rede poderá causar a negação do serviço

    Descrição: existia um problema de condição de disputa no processamento de pacotes IPv6. Este problema foi resolvido através da melhoria da verificação do estado de bloqueio.

    ID CVE

    CVE-2011-2391

  • Kernel

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: aplicações comprometidas ou criadas com intuito malicioso poderão ser capazes de determinar endereços no kernel

    Descrição: existia um problema de divulgação de informações no processamento de API relacionados com extensões do kernel. As respostas que contenham uma chave OSBundleMachOHeaders poderão ter incluídos endereços de kernel, o que poderá ajudar a contornar a proteção de aleatoriedade de esquema de espaços de endereços. Este problema foi resolvido travando os endereços antes de os devolver.

    ID CVE

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de certos campos de metadados dos objetos do IOSharedDataQueue. Este problema foi resolvido através da mudança dos metadados.

    ID CVE

    CVE-2014-4461 : @PanguTeam

  • LaunchServices

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: um ficheiro JAR malicioso poderá ignorar as verificações do Gatekeeper

    Descrição: existia um problema no processamento de inícios de aplicações que permitia que determinados ficheiros JAR maliciosos ignorassem as verificações do Gatekeeper. Este problema foi resolvido através de um processamento melhorado de metadados de tipo de ficheiro.

    ID CVE

    CVE-2014-8826: Hernan Ochoa da Amplia Security

  • libnetcore

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: uma app maliciosa na sandbox pode comprometer o daemon do networkd

    Descrição: existiam vários problemas de confusão do tipo no processamento da comunicação interprocessual por parte do networkd. Ao enviar ao networkd uma mensagem com formato malicioso, seria possível executar código arbitrário como o processo do networkd. O problema foi resolvido através da verificação adicional dos tipos.

    ID CVE

    CVE-2014-4492: Ian Beer do Google Project Zero

  • Janela de início de sessão

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: um Mac poderá não bloquear imediatamente após a reativação da pausa

    Descrição: existia um problema no processamento do ecrã de bloqueio. Este problema foi resolvido através da melhoria no processamento do ecrã quando este se encontra bloqueado.

    ID CVE

    CVE-2014-8827: Xavier Bertels da Mono e diversos avaliadores de qualidade do OS X

  • lukemftp

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: utilizar a linha de comando ftp tool para obter ficheiros de um servidor http malicioso poderá originar a execução de código arbitrário

    Descrição: existia um problema de injeção do comando no processamento dos redirecionamentos de HTTP. Este problema foi resolvido através de uma melhor validação de caracteres especiais.

    ID CVE

    CVE-2014-8517

  • ntpd

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: utilizar o daemon ntp com a autenticação criptográfica ativada poderá originar fugas de informações

    Descrição: existiam vários problemas de validação de entrada no ntpd. Estes problemas foram resolvidos através da validação de dados melhorada.

    ID CVE

    CVE-2014-9297

  • OpenSSL

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: várias vulnerabilidades no OpenSSL 0.9.8za, incluindo uma que poderá permitir que um atacante efetue um downgrade das ligações de forma a utilizar conjuntos de cifras mais fracos em aplicações que utilizam a biblioteca

    Descrição: existiam várias vulnerabilidades no OpenSSL 0.9.8za. Estes problemas foram resolvidos através da atualização do OpenSSL para a versão 0.9.8zc.

    ID CVE

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandbox

    Disponível para : OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: um processo na sandbox poderá ser capaz de contornar as restrições da sandbox

    Descrição: existia um problema de design no caching dos perfis da sandbox, o qual permitia que aplicações na sandbox obtivessem acesso de escrita à cache. Este problema foi resolvido ao restringir o acesso de escrita a caminhos que contenham um segmento "com.apple.sandbox". Este problema não afeta o OS X Yosemite v10.10 ou posterior.

    ID CVE

    CVE-2014-8828: Apple

  • SceneKit

    Disponível para : OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: uma aplicação maliciosa poderá executar código arbitrário que comprometa informações do utilizador

    Descrição: existiam vários problemas de escrita fora dos limites no SceneKit. Estes problemas foram resolvidos através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-8829: Jose Duart da Equipa de segurança da Google

  • SceneKit

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v.10.10 e v10.10.1

    Impacto: visualizar um ficheiro Collada criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia uma ultrapassagem do limite máximo do buffer da área dinâmica para dados no processamento de ficheiros Collada por parte do SceneKit. Visualizar um ficheiro Collada criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema foi resolvido através de uma melhor validação dos elementos de acesso.

    ID CVE

    CVE-2014-8830: Jose Duart da Equipa de Segurança da Google

  • Segurança

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v.10.10 e v10.10.1

    Impacto: uma aplicação descarregada assinada com um Certificado do ID do programador revogado poderá passar pelas verificações do Gatekeeper

    Descrição: existia um problema na forma como as informações de certificados de aplicações em cache eram avaliadas. Este problema foi resolvido através de melhorias de lógica na cache.

    ID CVE

    CVE-2014-8838: Apple

  • security_taskgate

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v.10.10 e v10.10.1

    Impacto: uma app poderá aceder a elementos do porta-chaves que pertençam a outras apps

    Descrição: existia um problema de controlo de acesso no Porta-chaves. As aplicações assinadas com certificados auto-assinados ou do ID do programador poderiam aceder aos elementos do porta-chaves, cujas listas de controlo de acesso se baseavam nos grupos do porta-chaves. Este problema foi resolvido através da validação de identidade de assinatura ao conceder acesso a grupos do porta-chaves.

    ID CVE

    CVE-2014-8831: Apple

  • Spotlight

    Disponível para: OS X Yosemite v10.10 e v10.10.1

    Impacto: o remetente de um e-mail poderá apurar o endereço IP do destinatário

    Descrição: o Spotlight não verificava o estado da definição "Carregar o conteúdo remoto das mensagens" do Mail. Este problema foi resolvido através da verificação melhoradas das configurações.

    ID CVE

    CVE-2014-8839: John Whitehead do The New York Times, Frode Moe do LastFriday.no

  • Spotlight

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 e v10.10.1

    Impacto: o Spotlight poderá guardar informações inesperadas num disco rígido externo

    Descrição: o Spotlight tinha um problema que fazia com que os conteúdos de memória pudessem ser escritos em discos rígidos externos durante a indexação. Este problema foi resolvido através da melhoria da gestão da memória.

    ID CVE

    CVE-2014-8832: F-Secure

  • SpotlightIndex

    Disponível para: OS X Yosemite v10.10 e v10.10.1

    Impacto: o Spotlight poderá apresentar resultados correspondentes a ficheiros que não pertençam ao utilizador

    Descrição: existia um problema de desserialização no processamento de caches de permissão por parte do Spotlight. Um utilizador que efetuasse uma consulta no Spotlight poderá ter visto resultados de pesquisa referentes a ficheiros para os quais não possuía privilégios suficientes. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-8833: David J Peacock, Consultor tecnológico independente

  • sysmond

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v.10.10 e v10.10.1

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios de raiz

    Descrição: existia uma vulnerabilidade de confusão do tipo no sysmond que permitia que uma aplicação local aumentasse os privilégios. O problema foi resolvido através de uma melhor verificação dos tipos.

    ID CVE

    CVE-2014-8835: Ian Beer do Google Project Zero

  • UserAccountUpdater

    Disponível para: OS X Yosemite v10.10 e v10.10.1

    Impacto: os ficheiros de preferências relacionados com impressão poderão conter informações confidenciais relacionadas com documentos PDF

    Descrição: o OS X Yosemite v10.10 resolveu um problema no processamento de ficheiros PDF protegidos por palavra-passe criados a partir da caixa de diálogo Imprimir, no qual as palavras-passe poderiam ser incluídas nos ficheiros de preferências de impressão. A atualização remove as informações estranhas que poderiam estar presentes em ficheiros de preferências de impressão.

    ID CVE

    CVE-2014-8834: Apple

Nota: o OS X Yosemite 10.10.2 inclui os conteúdos de segurança do Safari 8.0.3.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: