Acerca dos conteúdos de segurança do OS X Yosemite v10.10.4 e da Actualização de segurança 2015-005

Este documento descreve os conteúdos de segurança do OS X Yosemite v10.10.4 e da Actualização de segurança 2015-005.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

OS X Yosemite v10.10.4 e Actualização de segurança 2015-005

  • Admin Framework

    Disponível para: OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: um processo poderá obter privilégios de administrador sem a devida autenticação

    Descrição: existia um problema na verificação dos direitos XPC. Este problema foi resolvido através de uma verificação melhorada dos direitos.

    ID CVE

    CVE-2015-3671: Emil Kvarnhammar da TrueSec

  • Admin Framework

    Disponível para: OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: um utilizador sem permissões de administrador poderá obter direitos de administrador

    Descrição: existia um problema no processamento da autenticação de utilizador. Este problema foi resolvido através de uma verificação melhorada dos erros.

    ID CVE

    CVE-2015-3672: Emil Kvarnhammar da TrueSec

  • Admin Framework

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: um atacante poderá usar indevidamente o Utilitário de diretório para obter privilégios de raiz

    Descrição: o Utilitário de diretório era movido e modificado de forma a conseguir a execução de um código dentro de um processo autorizado. Este problema foi resolvido limitando a localização do disco no qual os clientes writeconfig poderão ser executados.

    ID CVE

    CVE-2015-3673: Patrick Wardle da Synack e Emil Kvarnhammar da TrueSec

  • afpserver

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no servidor AFP. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3674: Dean Jerkovich da NCC Group

  • apache

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: um atacante poderá ser capaz de aceder a diretórios que estão protegidos por autenticação HTTP sem saber as credenciais corretas

    Descrição: a configuração Apache predefinida não incluiu o mod_hfs_apple. Se o Apache foi ativado manualmente e a configuração não foi alterada, poderá ser possível aceder a alguns ficheiros que não deveriam ser acessíveis utilizando um URL especialmente criado para o efeito. Este problema foi resolvido através da ativação do mod_hfs_apple.

    ID CVE

    CVE-2015-3675: Apple

  • apache

    Disponível para: OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: existem várias vulnerabilidades no PHP, a mais grave das quais poderá provocar a execução de um código arbitrário

    Descrição: existiam várias vulnerabilidades nas versões PHP anteriores à 5.5.24 e 5.4.40. Estas foram resolvidas ao atualizar o PHP para as versões 5.5.24 e 5.4.40.

    ID CVE

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema no AppleGraphicsControl que poderia levar à divulgação do esquema de memória do kernel. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-3676: Chen Liang da KEEN Team

  • AppleFSCompression

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema na compressão LZVN que poderia levar à divulgação de conteúdos da memória do kernel. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3677: um investigador anónimo em colaboração com o programa Zero Day Initiative da HP

  • AppleThunderboltEDMService

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no processamento de determinados comandos Thunderbolt de processos locais. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3678: Apple

  • ATS

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no processamento de certos tipos de letra. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3679: Pawel Wylecial em colaboração com o programa Zero Day Initiative da HP

    CVE-2015-3680: Pawel Wylecial em colaboração com o programa Zero Day Initiative da HP

    CVE-2015-3681: John Villamil (@day6reak), Equipa Pentest da Yahoo

    CVE-2015-3682: 魏诺德

  • Bluetooth

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória na interface de Bluetooth HCI. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3683: Roberto Paleari e Aristide Fattori da Emaze Networks

  • Política de confiança de certificados

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: um atacante com uma posição privilegiada na rede poderá intercetar tráfego de rede

    Descrição: um certificado intermédio foi incorretamente emitido pela autoridade de certificação CNNIC. Este problema foi resolvido através da inclusão de um mecanismo para confiar apenas num subconjunto de certificados emitidos antes da falha na emissão do certificado intermédio. Saiba mais acerca da lista de permissões de confiança parcial de segurança.

  • Política de confiança de certificados

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Descrição: a política de confiança de certificados foi atualizada. A lista completa de certificados poderá ser visualizada nos Certificados do OS X.

  • CFNetwork HTTPAuthentication

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: aceder a um URL criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de determinadas credenciais de URL. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3684: Apple

  • CoreText

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: o processamento de um ficheiro de texto criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no processamento de ficheiros de texto. Estes problemas foram resolvidos através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Equipa Pentest da Yahoo

    CVE-2015-3687: John Villamil (@day6reak), Equipa Pentest da Yahoo

    CVE-2015-3688: John Villamil (@day6reak), Equipa Pentest da Yahoo

    CVE-2015-3689: Apple

  • coreTLS

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: um atacante com uma posição privilegiada na rede poderá intercetar ligações SSL/TLS

    Descrição: o coreTLS aceitou chaves Diffie-Hellman (DH) temporárias e curtas, conforme utilizado em conjuntos de cifras DH temporárias com força de exportação. Este problema, também conhecido como Logjam, permitia que um atacante com uma posição privilegiada na rede fizesse o downgrade da segurança para DH de 512 bits se o servidor suportasse um conjunto de cifras DH temporárias com força de exportação. Este problema foi resolvido através do aumento do tamanho mínimo predefinido permitido de chaves DH temporárias para 768 bits.

    ID CVE

    CVE-2015-4000: a equipa weakdh da weakdh.org, Hanno Boeck

  • DiskImages

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema de divulgação de informações no processamento de imagens de disco. Este problema foi resolvido através da melhoria da gestão da memória.

    ID CVE

    CVE-2015-3690: Peter Rutenbar em colaboração com o programa Zero Day Initiative da HP

  • Display Drivers

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema com a extensão do kernel do Monitor Control Command Set através do qual um processo userland conseguiria controlar o valor de um indicador de função no kernel. Este problema foi resolvido através da remoção da interface afetada.

    ID CVE

    CVE-2015-3691: Roberto Paleari e Aristide Fattori da Emaze Networks

  • EFI

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa com privilégios de raiz poderá ser capaz de modificar a memória flash da EFI

    Descrição: existia um problema de bloqueio insuficiente com o flash da EFI ao reativar de estados de pausa. Este problema foi resolvido através do bloqueio melhorado.

    ID CVE

    CVE-2015-3692: Trammell Hudson da Two Sigma Investments, Xeno Kovah e Corey Kallenberg da LegbaCore LLC e Pedro Vilaça

  • EFI

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá induzir à corrupção de memória para obter mais privilégios

    Descrição: existe um erro de perturbação, também conhecido como Rowhammer, em algumas RAM DDR3 que pode levar à corrupção de memória. Este problema foi mitigado através do aumento das taxas de atualização de memória.

    ID CVE

    CVE-2015-3693: Mark Seaborn e Thomas Dullien da Google, em colaboração com a investigação original de Yoongu Kim et al (2014)

  • FontParser

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através de uma validação melhorada da entrada.

    ID CVE

    CVE-2015-3694: John Villamil (@day6reak), Equipa Pentest da Yahoo

  • Graphics Driver

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de escrita fora dos limites no controlador de gráficos NVIDIA. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-3712: Ian Beer do Google Project Zero

  • Intel Graphics Driver

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: existem vários problemas de ultrapassagem do limite máximo do buffer no controlador de gráficos Intel, o mais grave dos quais poderá levar à execução de um código arbitrário com privilégios de sistema

    Descrição: existiam vários problemas de ultrapassagem do limite máximo do buffer no controlador de gráficos Intel. Estes problemas foram resolvidos através da verificação adicional dos limites.

    ID CVE

    CVE-2015-3695: Ian Beer do Google Project Zero

    CVE-2015-3696: Ian Beer do Google Project Zero

    CVE-2015-3697: Ian Beer do Google Project Zero

    CVE-2015-3698: Ian Beer do Google Project Zero

    CVE-2015-3699: Ian Beer do Google Project Zero

    CVE-2015-3700: Ian Beer do Google Project Zero

    CVE-2015-3701: Ian Beer do Google Project Zero

    CVE-2015-3702: KEEN Team

  • ImageIO

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: existiam várias vulnerabilidades no libtiff, a mais grave das quais poderá levar à execução de um código arbitrário

    Descrição: existiam várias vulnerabilidades em versões do libtiff anteriores à 4.0.4. Foram resolvidas através da atualização do libtiff para a versão 4.0.4.

    ID CVE

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: o processamento de um ficheiro .tiff criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros .tiff. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-3703: Apple

  • Install Framework Legacy

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existiam vários problemas na forma como o binário setuid de "execução" do Install.framework retirava privilégios. Este problema foi resolvido através da remoção correta dos privilégios.

    ID CVE

    CVE-2015-3704: Ian Beer do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existiam vários problemas de corrupção de memória no IOAcceleratorFamily. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3705: KEEN Team

    CVE-2015-3706: KEEN Team

  • IOFireWireFamily

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existiam vários problemas de desreferenciação do indicador nulo no controlador do FireWire. Estes problemas foram resolvidos através de uma verificação melhorada dos erros.

    ID CVE

    CVE-2015-3707: Roberto Paleari e Aristide Fattori da Emaze Networks
  • Kernel

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema de gestão de memória no processamento de API relacionadas com extensões do kernel que poderiam levar à divulgação do esquema de memória do kernel. Este problema foi resolvido através da melhoria da gestão da memória.

    ID CVE

    CVE-2015-3720: Stefan Esser
  • Kernel

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema de gestão de memória no processamento de parâmetros HFS, o que poderia provocar a divulgação do esquema de memória do kernel. Este problema foi resolvido através da melhoria da gestão da memória.

    ID CVE

    CVE-2015-3721: Ian Beer do Google Project Zero
  • kext tools

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá substituir ficheiros arbitrários

    Descrição: o kextd seguia ligações simbólicas enquanto criava um novo ficheiro. Este problema foi resolvido através de um processamento melhorado das ligações simbólicas.

    ID CVE

    CVE-2015-3708: Ian Beer do Google Project Zero

  • kext tools

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: um utilizador local poderá conseguir carregar extensões do kernel não assinadas

    Descrição: existia um problema de condição de disputa TOCTOU (Time of check, Time of use) na validação de caminhos de extensões do kernel. Este problema foi resolvido através das verificações melhoradas para validar o caminho das extensões do kernel.

    ID CVE

    CVE-2015-3709: Ian Beer do Google Project Zero

  • Mail

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: um e-mail criado com intuito malicioso poderá substituir os conteúdos da mensagem por uma página web arbitrária quando a mensagem é visualizada

    Descrição: existia um problema no suporte de e-mail HTML que permitia que os conteúdos de mensagem fossem atualizados com uma página web arbitrária. Este problema foi resolvido através de suporte limitado para conteúdos HTML.

    ID CVE

    CVE-2015-3710: Aaron Sigel da vtty.com e Jan Souček

  • ntfs

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema no NTFS que poderia originar a divulgação de conteúdos da memória do kernel. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3711: Peter Rutenbar em colaboração com o programa Zero Day Initiative da HP

  • ntp

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: um atacante numa posição privilegiada poderá provocar um ataque de recusa de serviço contra dois clientes ntp

    Descrição: existiam vários problemas na autenticação de pacotes ntp recebidos por pontos de destino configurados. Estes problemas foram resolvidos através da gestão melhorada do estado da ligação.

    ID CVE

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: existiam vários problemas no OpenSSL, incluindo um que poderia permitir a um atacante intercetar as ligações a um servidor que suportasse cifras de grau de exportação

    Descrição: existiam vários problemas no OpenSSL 0.9.8zd que foram resolvidos ao atualizar o OpenSSL para a versão 0.9.8zf.

    ID CVE

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: o processamento de um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no QuickTime. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3661: G. Geshev em colaboração com o programa Zero Day Initiative da HP

    CVE-2015-3662: kdot em colaboração com o programa Zero Day Initiative da HP

    CVE-2015-3663: kdot em colaboração com o programa Zero Day Initiative da HP

    CVE-2015-3666: Steven Seeley da Source Incite em colaboração com o programa Zero Day Initiative da HP

    CVE-2015-3667: Ryan Pentney, Richard Johnson da Cisco Talos e Kai Lu do FortiGuard Labs da Fortinet

    CVE-2015-3668: Kai Lu do FortiGuard Labs da Fortinet

    CVE-2015-3713: Apple

  • Segurança

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: um atacante remoto poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no código da estrutura de Segurança para análise de e-mail S/MIME e de outros objetos com assinatura ou cifragem. Este problema foi resolvido através de uma verificação melhorada da validade.

    ID CVE

    CVE-2013-1741

  • Segurança

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: as aplicações modificadas poderão não ser impedidas de iniciar

    Descrição: as apps que utilizam regras de recursos personalizadas poderão ter estado suscetíveis a alterações que não invalidariam a assinatura. Este problema foi resolvido através da validação melhorada dos recursos.

    ID CVE

    CVE-2015-3714: Joshua Pitts da Leviathan Security Group

  • Segurança

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: uma aplicação maliciosa poderá ignorar verificações da assinatura de código

    Descrição: existia um problema em que a assinatura de código não verificava as bibliotecas carregadas fora do pacote da aplicação. Este problema foi resolvido através da verificação melhorada dos pacotes.

    ID CVE

    CVE-2015-3715: Patrick Wardle da Synack

  • Spotlight

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 e OS X Yosemite v10.10 a v10.10.3

    Impacto: procurar um ficheiro malicioso com o Spotlight poderá provocar a injeção de comandos

    Descrição: existia uma vulnerabilidade na injeção de comandos no processamento dos nomes de ficheiro de fotografias adicionadas à fototeca local. Este problema foi resolvido através de uma validação melhorada da entrada.

    ID CVE

    CVE-2015-3716: Apple

  • SQLite

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: um atacante remoto poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de ultrapassagem do limite máximo do buffer na implementação printf do SQLite. Estes problemas foram resolvidos através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-3717: Peter Rutenbar em colaboração com o programa Zero Day Initiative da HP

  • SQLite

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: um comando SQL criado com intuito malicioso poderá permitir o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema na API na funcionalidade SQLite. Este problema foi resolvido através da melhoria das restrições.

    ID CVE

    CVE-2015-7036: Peter Rutenbar em colaboração com o programa Zero Day Initiative da HP

  • System Stats

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: uma app maliciosa poderá comprometer o systemstatsd

    Descrição: existia um problema de confusão de tipos no processamento da comunicação interprocessual por parte do systemstatsd. Ao enviar uma mensagem formatada de forma maliciosa para o systemstatsd, poderá ser possível executar um código arbitrário como o processo systemstatsd. Este problema foi resolvido através da verificação adicional dos tipos.

    ID CVE

    CVE-2015-3718: Roberto Paleari e Aristide Fattori da Emaze Networks

  • TrueTypeScaler

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através de uma validação melhorada da entrada.

    ID CVE

    CVE-2015-3719: John Villamil (@day6reak), Equipa Pentest da Yahoo

  • zip

    Disponível para: OS X Yosemite v10.10 a v10.10.3

    Impacto: extrair ficheiros zip criados com intuito malicioso através da ferramenta de extração poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no processamento de ficheiros zip. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

O OS X Yosemite v10.10.4 inclui os conteúdos de segurança do Safari 8.0.7.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: