Acerca dos conteúdos de segurança do OS X Mavericks v10.9.5 e da Atualização de segurança 2014-004

Este documento descreve os conteúdos de segurança do OS X Mavericks v10.9.5 e da Atualização de segurança 2014-004.

Esta atualização pode ser descarregada e instalada através da Actualização de software ou a partir do site do Suporte Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a Segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos da Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras Atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

Nota: o OS X Mavericks v10.9.5 inclui os conteúdos de segurança do Safari 7.0.6.

OS X Mavericks v10.9.5 e Atualização de segurança 2014-004

  • apache_mod_php

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: várias vulnerabilidades no PHP 5.4.24

    Descrição: existiam várias vulnerabilidades no PHP 5.4.24, a mais grave das quais poderia ter originado a execução de um código arbitrário. Esta atualização resolve os problemas atualizando o PHP para a versão 5.4.30

    ID CVE

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de uma chamada Bluetooth API. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4390: Ian Beer do Google Project Zero

  • CoreGraphics

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou uma divulgação de informações

    Descrição: existia um problema de leitura de memória fora dos limites no processamento de ficheiros PDF. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4378: Felipe Andres Manzano da Binamuse VRT em colaboração com o iSIGHT Partners GVP Program

  • CoreGraphics

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de ficheiros PDF. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4377: Felipe Andres Manzano da Binamuse VRT em colaboração com o iSIGHT Partners GVP Program

  • Foundation

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação que utilize o NSXMLParser poderá ser usada indevidamente para divulgar informações

    Descrição: existia um problema de Entidade externa XML no processamento de XML do NSXMLParser. O problema foi resolvido através do não carregamento de entidades externas nas origens.

    ID CVE

    CVE-2014-4374: George Gal da VSR (http://www.vsecurity.com/)

  • Intel Graphics Driver

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: a compilação de shaders GLSL não fidedignos poderá levar ao encerramento inesperado da aplicação ou à execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer do espaço do utilizador no compilador shader. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4393: Apple

  • Intel Graphics Driver

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existiam vários problemas de validação em alguns dos procedimentos dos controladores gráficos integrados. Estes problemas foram resolvidos através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4394: Ian Beer do Google Project Zero

    CVE-2014-4395: Ian Beer do Google Project Zero

    CVE-2014-4396: Ian Beer do Google Project Zero

    CVE-2014-4397: Ian Beer do Google Project Zero

    CVE-2014-4398: Ian Beer do Google Project Zero

    CVE-2014-4399: Ian Beer do Google Project Zero

    CVE-2014-4400: Ian Beer do Google Project Zero

    CVE-2014-4401: Ian Beer do Google Project Zero

    CVE-2014-4416: Ian Beer do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de desreferenciação do indicador nulo no processamento de argumentos API do IOKit. Este problema foi resolvido através da validação melhorada dos argumentos API do IOKit.

    ID CVE

    CVE-2014-4376: Ian Beer do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de leitura fora dos limites no processamento de uma função IOAcceleratorFamily. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4402: Ian Beer do Google Project Zero

  • IOHIDFamily

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: um utilizador local pode ler os indicadores do kernel, que podem ser utilizados para ignorar a aleatoriedade dos espaços dos modelos de endereços do kernel

    Descrição: existia um problema de leitura fora dos limites no processamento de uma função do IOHIDFamily. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4379: Ian Beer do Google Project Zero

  • IOKit

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de determinados campos de metadados dos objetos IODataQueue. Este problema foi resolvido através da melhoria da validação de metadados.

    ID CVE

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de funções do IOKit. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4389: Ian Beer do Google Project Zero

  • Kernel

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: um utilizador local pode inferir endereços do kernel e ignorar a aleatoriedade dos espaços dos modelos de endereços do kernel

    Descrição: em alguns casos, o CPU Global Descriptor Table era atribuído a um endereço previsível. Este problema foi resolvido através da atribuição contínua do Global Descriptor Table a endereços aleatórios.

    ID CVE

    CVE-2014-4403: Ian Beer do Google Project Zero

  • Libnotify

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios de raiz

    Descrição: existia um problema de escrita fora dos limites no Libnotify. Este problema foi resolvido através de uma melhor verificação dos limites

    ID CVE

    CVE-2014-4381: Ian Beer do Google Project Zero

  • OpenSSL

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: várias vulnerabilidades no OpenSSL 0.9.8y, incluindo uma que poderia levar à execução de um código arbitrário

    Descrição: existiam várias vulnerabilidades no OpenSSL 0.9.8y. Esta atualização foi resolvida através da atualização do OpenSSL para a versão 0.9.8za.

    ID CVE

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: a reprodução de um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de filme com codificação RLE. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-1391: Fernando Munoz em colaboração com a iDefense VCP, Tom Gallagher & Paul Bates em colaboração com o programa Zero Day Initiative da HP

  • QT Media Foundation

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: reproduzir um ficheiro MIDI criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de ficheiros MIDI. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4350: s3tm3m em colaboração com o programa Zero Day Initiative da HP

  • QT Media Foundation

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: a reprodução de um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de átomos "mvhd". Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4979: Andrea Micalizzi aka rgod em colaboração com o programa Zero Day Initiative da HP

  • ruby

    Disponível para: OS X Mavericks v10.9 a v10.9.4

    Impacto: um atacante remoto poderá conseguir provocar uma execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer da área dinâmica para dados no processamento de caracteres codificados com o símbolo de percentagem do LibYAML num URI. Este problema foi resolvido através da verificação melhorada dos limites. Esta atualização resolve os problemas atualizando o LibYAML para a versão 0.1.6

    ID CVE

    CVE-2014-2525

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: