Acerca dos conteúdos de segurança do OS X Yosemite v10.10.4 e da Atualização de segurança 2015-005
Este documento descreve os conteúdos de segurança do OS X Yosemite v10.10.4 e da Atualização de segurança 2015-005.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
OS X Yosemite v10.10.4 e Atualização de segurança 2015-005
Admin Framework
Disponível para: OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3
Impacto: um processo poderá obter privilégios de administrador sem a devida autenticação
Descrição: existia um problema na verificação dos direitos XPC. Este problema foi resolvido através de uma verificação melhorada dos direitos.
CVE-ID
CVE-2015-3671 : Emil Kvarnhammar da TrueSec
Admin Framework
Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: um utilizador sem permissões de administrador poderá obter direitos de administrador
Descrição: existia um problema no processamento da autenticação de utilizador. Este problema foi resolvido através de uma verificação melhorada dos erros.
CVE-ID
CVE-2015-3672 : Emil Kvarnhammar da TrueSec
Admin Framework
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: um atacante poderá usar indevidamente o Utilitário de diretório para obter privilégios de raiz
Descrição: o Utilitário de diretório era movido e modificado de forma a conseguir a execução de um código dentro de um processo autorizado. Este problema foi resolvido limitando a localização do disco no qual os clientes writeconfig poderão ser executados.
CVE-ID
CVE-2015-3673 : Patrick Wardle da Synack, Emil Kvarnhammar da TrueSec
afpserver
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no servidor AFP. Este problema foi resolvido através do processamento melhorado da memória.
CVE-ID
CVE-2015-3674 : Dean Jerkovich da NCC Group
apache
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: um atacante poderá ser capaz de aceder a diretórios que estão protegidos por autenticação HTTP sem saber as credenciais corretas
Descrição: a configuração Apache predefinida não incluiu o mod_hfs_apple. Se o Apache foi ativado manualmente e a configuração não foi alterada, poderá ser possível aceder a alguns ficheiros que não deveriam ser acessíveis utilizando um URL especialmente criado para o efeito. Este problema foi resolvido através da ativação do mod_hfs_apple.
CVE-ID
CVE-2015-3675 : Apple
apache
Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: existem várias vulnerabilidades no PHP, a mais grave das quais poderá provocar a execução de um código arbitrário
Descrição: existiam várias vulnerabilidades nas versões PHP anteriores à 5.5.24 e 5.4.40. Estas foram resolvidas ao atualizar o PHP para as versões 5.5.24 e 5.4.40.
CVE-ID
CVE-2015-0235
CVE-2015-0273
AppleGraphicsControl
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema no AppleGraphicsControl que poderia levar à divulgação do esquema de memória do kernel. Este problema foi resolvido através da verificação melhorada dos limites.
CVE-ID
CVE-2015-3676 : Chen Liang da KEEN Team
AppleFSCompression
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
existia um problema na compressão LZVN que poderia levar à divulgação de conteúdos da memória do kernel. Este problema foi resolvido através do processamento melhorado da memória.
CVE-ID
CVE-2015-3677: um investigador anónimo em colaboração com o programa Zero Day Initiative da HP
AppleThunderboltEDMService
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória no processamento de determinados comandos Thunderbolt de processos locais. Este problema foi resolvido através do processamento melhorado da memória.
CVE-ID
CVE-2015-3678 : Apple
ATS
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no processamento de certos tipos de letra. Estes problemas foram resolvidos através do processamento melhorado da memória.
CVE-ID
CVE-2015-3679 : Pawel Wylecial em colaboração com o programa Zero Day Initiative da HP
CVE-2015-3680 : Pawel Wylecial em colaboração com o programa Zero Day Initiative da HP
CVE-2015-3681 : John Villamil (@day6reak), Equipa Pentest da Yahoo
CVE-2015-3682 : 魏诺德
Bluetooth
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória na interface de Bluetooth HCI. Este problema foi resolvido através do processamento melhorado da memória.
CVE-ID
CVE-2015-3683 : Roberto Paleari e Aristide Fattori da Emaze Networks
Certificate Trust Policy
Disponível em: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: um atacante com uma posição privilegiada na rede poderá intercetar tráfego de rede
Descrição: um certificado intermédio foi incorretamente emitido pela autoridade de certificação CNNIC. Este problema foi resolvido através da inclusão de um mecanismo para confiar apenas num subconjunto de certificados emitidos antes da falha na emissão do certificado intermédio. Saiba mais acerca da lista de permissões de confiança parcial de segurança.
Certificate Trust Policy
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Descrição: a política de confiança de certificados foi atualizada. A lista completa de certificados poderá ser visualizada nos Certificados do OS X.
CFNetwork HTTPAuthentication
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: aceder a um URL criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de determinadas credenciais de URL. Este problema foi resolvido através do processamento melhorado da memória.
CVE-ID
CVE-2015-3684 : Apple
CoreText
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: o processamento de um ficheiro de texto criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no processamento de ficheiros de texto. Estes problemas foram resolvidos através da verificação melhorada dos limites.
CVE-ID
CVE-2015-1157
CVE-2015-3685 : Apple
CVE-2015-3686 : John Villamil (@day6reak), Equipa Yahoo Pentest
CVE-2015-3687 : John Villamil (@day6reak), Equipa Yahoo Pentest
CVE-2015-3688 : John Villamil (@day6reak), Equipa Yahoo Pentest
CVE-2015-3689 : Apple
coreTLS
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: um atacante com uma posição privilegiada na rede poderá intercetar ligações SSL/TLS
Descrição: o coreTLS aceitou chaves Diffie-Hellman (DH) temporárias e curtas, conforme utilizado em conjuntos de cifras DH temporárias com força de exportação. Este problema, também conhecido como Logjam, permitia que um atacante com uma posição privilegiada na rede fizesse o downgrade da segurança para DH de 512 bits se o servidor suportasse um conjunto de cifras DH temporárias com força de exportação. Este problema foi resolvido através do aumento do tamanho mínimo predefinido permitido de chaves DH temporárias para 768 bits.
CVE-ID
CVE-2015-4000 : a equipa weakdh da weakdh.org, Hanno Boeck
DiskImages
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema de divulgação de informações no processamento de imagens de disco. Este problema foi resolvido através da gestão melhorada da memória.
CVE-ID
CVE-2015-3690 : Peter Rutenbar em colaboração com o programa Zero Day Initiative da HP
Display Drivers
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema com a extensão do kernel do Monitor Control Command Set através do qual um processo userland conseguiria controlar o valor de um indicador de função no kernel. Este problema foi resolvido através da remoção da interface afetada.
CVE-ID
CVE-2015-3691 : Roberto Paleari e Aristide Fattori da Emaze Networks
EFI
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa com privilégios de raiz poderá ser capaz de modificar a memória flash da EFI
Descrição: existia um problema de bloqueio insuficiente com o flash da EFI ao reativar de estados de pausa. Este problema foi resolvido através do bloqueio melhorado.
CVE-ID
CVE-2015-3692 : Trammell Hudson da Two Sigma Investments, Xeno Kovah e Corey Kallenberg da LegbaCore LLC, Pedro Vilaça
EFI
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá induzir à corrupção de memória para obter mais privilégios
Descrição: existe um erro de perturbação, também conhecido como Rowhammer, em algumas RAM DDR3 que pode levar à corrupção de memória. Este problema foi mitigado através do aumento das taxas de atualização de memória.
CVE-ID
CVE-2015-3693 : Mark Seaborn e Thomas Dullien da Google, em colaboração com a investigação original de Yoongu Kim et al (2014)
FontParser
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada da entrada.
CVE-ID
CVE-2015-3694 : John Villamil (@day6reak), Equipa Pentest da Yahoo
Graphics Driver
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de escrita fora dos limites no controlador de gráficos NVIDIA. Este problema foi resolvido através da verificação melhorada dos limites.
CVE-ID
CVE-2015-3712 : Ian Beer do Google Project Zero
Intel Graphics Driver
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: existem vários problemas de ultrapassagem do limite máximo do buffer no controlador de gráficos Intel, o mais grave dos quais poderá levar à execução de um código arbitrário com privilégios de sistema
Descrição: existiam vários problemas de ultrapassagem do limite máximo do buffer no controlador de gráficos Intel. Estes problemas foram resolvidos através da verificação adicional dos limites.
CVE-ID
CVE-2015-3695 : Ian Beer do Google Project Zero
CVE-2015-3696 : Ian Beer do Google Project Zero
CVE-2015-3697 : Ian Beer do Google Project Zero
CVE-2015-3698 : Ian Beer do Google Project Zero
CVE-2015-3699 : Ian Beer do Google Project Zero
CVE-2015-3700 : Ian Beer do Google Project Zero
CVE-2015-3701 : Ian Beer do Google Project Zero
CVE-2015-3702 : KEEN Team
ImageIO
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: existiam várias vulnerabilidades no libtiff, a mais grave das quais poderá levar à execução de um código arbitrário
Descrição: existiam várias vulnerabilidades em versões do libtiff anteriores à 4.0.4. Foram resolvidas através da atualização do libtiff para a versão 4.0.4.
CVE-ID
CVE-2014-8127
CVE-2014-8128
CVE-2014-8129
CVE-2014-8130
ImageIO
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: o processamento de um ficheiro .tiff criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de ficheiros .tiff. Este problema foi resolvido através da verificação melhorada dos limites.
CVE-ID
CVE-2015-3703 : Apple
Install Framework Legacy
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existiam vários problemas na forma como o binário setuid de "execução" do Install.framework retirava privilégios. Este problema foi resolvido através da remoção correta dos privilégios.
CVE-ID
CVE-2015-3704 : Ian Beer do Google Project Zero
IOAcceleratorFamily
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existiam vários problemas de corrupção de memória no IOAcceleratorFamily. Estes problemas foram resolvidos através do processamento melhorado da memória.
CVE-ID
CVE-2015-3705 : KEEN Team
CVE-2015-3706 : KEEN Team
IOFireWireFamily
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existiam vários problemas de desreferenciação do indicador nulo no controlador do FireWire. Estes problemas foram resolvidos através de uma verificação melhorada dos erros.
CVE-ID
CVE-2015-3707 : Roberto Paleari e Aristide Fattori da Emaze Networks
Kernel
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema de gestão de memória no processamento de API relacionadas com extensões do kernel que poderiam levar à divulgação do esquema de memória do kernel. Este problema foi resolvido através da gestão melhorada da memória.
CVE-ID
CVE-2015-3720 : Stefan Esser
Kernel
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema de gestão de memória no processamento de parâmetros HFS, o que poderia provocar a divulgação do esquema de memória do kernel. Este problema foi resolvido através da gestão melhorada da memória.
CVE-ID
CVE-2015-3721 : Ian Beer do Google Project Zero
kext tools
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá substituir ficheiros arbitrários
Descrição: o kextd seguia ligações simbólicas enquanto criava um novo ficheiro. Este problema foi resolvido através de um processamento melhorado das ligações simbólicas.
CVE-ID
CVE-2015-3708 : Ian Beer do Google Project Zero
kext tools
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: um utilizador local poderá conseguir carregar extensões do kernel não assinadas
Descrição: existia um problema de condição de disputa TOCTOU (Time of check, Time of use) na validação de caminhos de extensões do kernel. Este problema foi resolvido através das verificações melhoradas para validar o caminho das extensões do kernel.
CVE-ID
CVE-2015-3709 : Ian Beer do Google Project Zero
Mail
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: um e-mail criado com intuito malicioso poderá substituir os conteúdos da mensagem por uma página web arbitrária quando a mensagem é visualizada
Descrição: existia um problema no suporte de e-mail HTML que permitia que os conteúdos de mensagem fossem atualizados com uma página web arbitrária. Este problema foi resolvido através de suporte limitado para conteúdos HTML.
CVE-ID
CVE-2015-3710 : Aaron Sigel da vtty.com, Jan Souček
ntfs
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema no NTFS que poderia originar a divulgação de conteúdos da memória do kernel. Este problema foi resolvido através do processamento melhorado da memória.
CVE-ID
CVE-2015-3711 : Peter Rutenbar em colaboração com o programa Zero Day Initiative da HP
ntp
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: um atacante numa posição privilegiada poderá provocar um ataque de recusa de serviço contra dois clientes ntp
Descrição: existiam vários problemas na autenticação de pacotes ntp recebidos por pontos de destino configurados. Estes problemas foram resolvidos através da gestão melhorada do estado da ligação.
CVE-ID
CVE-2015-1798
CVE-2015-1799
OpenSSL
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: existiam vários problemas no OpenSSL, incluindo um que poderia permitir a um atacante intercetar as ligações a um servidor que suportasse cifras de grau de exportação
Descrição: existiam vários problemas no OpenSSL 0.9.8zd que foram resolvidos ao atualizar o OpenSSL para a versão 0.9.8zf.
CVE-ID
CVE-2015-0209
CVE-2015-0286
CVE-2015-0287
CVE-2015-0288
CVE-2015-0289
CVE-2015-0293
QuickTime
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: o processamento de um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no QuickTime. Estes problemas foram resolvidos através do processamento melhorado da memória.
CVE-ID
CVE-2015-3661 : G. Geshev em colaboração com o programa Zero Day Initiative da HP
CVE-2015-3662 : kdot em colaboração com o programa Zero Day Initiative da HP
CVE-2015-3663 : kdot em colaboração com o programa Zero Day Initiative da HP
CVE-2015-3666 : Steven Seeley da Source Incite em colaboração com o programa Zero Day Initiative da HP
CVE-2015-3667 : Ryan Pentney, Richard Johnson da Cisco Talos e Kai Lu do FortiGuard Labs da Fortinet
CVE-2015-3668 : Kai Lu do FortiGuard Labs da Fortinet
CVE-2015-3713 : Apple
Security
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: um atacante remoto poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no código da estrutura de Segurança para análise de e-mail S/MIME e de outros objetos com assinatura ou encriptados. Este problema foi resolvido através de uma verificação melhorada da validade.
CVE-ID
CVE-2013-1741
Security
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: as aplicações modificadas poderão não ser impedidas de iniciar
Descrição: as apps que utilizam regras de recursos personalizadas poderão ter estado suscetíveis a alterações que não invalidariam a assinatura. Este problema foi resolvido através da validação melhorada dos recursos.
CVE-ID
CVE-2015-3714 : Joshua Pitts da Leviathan Security Group
Security
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: uma aplicação maliciosa poderá ignorar verificações da assinatura de código
Descrição: existia um problema em que a assinatura de código não verificava as bibliotecas carregadas fora do pacote da aplicação. Este problema foi resolvido através da verificação melhorada dos pacotes.
CVE-ID
CVE-2015-3715 : Patrick Wardle da Synack
Spotlight
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: procurar um ficheiro malicioso com o Spotlight poderá provocar a injeção de comandos
Descrição: existia uma vulnerabilidade na injeção de comandos no processamento dos nomes de ficheiro de fotografias adicionadas à fototeca local. Este problema foi resolvido através da validação melhorada da entrada.
CVE-ID
CVE-2015-3716 : Apple
SQLite
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: um atacante remoto poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam vários problemas de ultrapassagem do limite máximo do buffer na implementação printf do SQLite. Estes problemas foram resolvidos através da verificação melhorada dos limites.
CVE-ID
CVE-2015-3717 : Peter Rutenbar em colaboração com o programa Zero Day Initiative da HP
SQLite
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: um comando SQL criado com intuito malicioso poderá permitir o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema na API na funcionalidade SQLite. Este problema foi resolvido através da melhoria das restrições.
CVE-ID
CVE-2015-7036 : Peter Rutenbar em colaboração com o programa Zero Day Initiative da HP
System Stats
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: uma app maliciosa poderá comprometer o systemstatsd
Descrição: existia um problema de confusão de tipos no processamento da comunicação interprocessual por parte do systemstatsd. Ao enviar uma mensagem formatada de forma maliciosa para o systemstatsd, poderá ser possível executar um código arbitrário como o processo systemstatsd. Este problema foi resolvido através da verificação adicional dos tipos.
CVE-ID
CVE-2015-3718 : Roberto Paleari e Aristide Fattori da Emaze Networks
TrueTypeScaler
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada da entrada.
CVE-ID
CVE-2015-3719 : John Villamil (@day6reak), Equipa Pentest da Yahoo
zip
Disponível para: OS X Yosemite v10.10 a v10.10.3
Impacto: extrair ficheiros zip criados com intuito malicioso através da ferramenta de extração poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no processamento de ficheiros zip. Estes problemas foram resolvidos através do processamento melhorado da memória.
CVE-ID
CVE-2014-8139
CVE-2014-8140
CVE-2014-8141
O OS X Yosemite v10.10.4 inclui os conteúdos de segurança do Safari 8.0.7.
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.