Acerca dos conteúdos de segurança do OS X Yosemite v10.10.5 e da Actualização de segurança 2015-006

Este documento descreve os conteúdos de segurança do OS X Yosemite v10.10.5 e da Actualização de segurança 2015-006.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

OS X Yosemite v10.10.5 e Actualização de segurança 2015-006

  • apache

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: existiam várias vulnerabilidades no Apache 2.4.16, a mais grave das quais poderia permitir que um atacante remoto provocasse uma recusa de serviço.

    Descrição: existiam várias vulnerabilidades em versões do Apache anteriores à 2.4.16. Estas vulnerabilidades foram resolvidas através da atualização do Apache para a versão 2.4.16.

    ID CVE

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: existiam várias vulnerabilidades no PHP 5.5.20, a mais grave das quais poderá provocar a execução de um código arbitrário.

    Descrição: existiam várias vulnerabilidades em versões do PHP anteriores à 5.5.20. Estas vulnerabilidades foram resolvidas através da atualização do Apache para a versão 5.5.27.

    ID CVE

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Plug-in do OD para ID Apple

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma aplicação maliciosa poderá conseguir alterar a palavra-passe de um utilizador local

    Descrição: em determinadas circunstâncias, existia um problema de gestão do estado na autentificação da palavra-passe. O problema foi resolvido através da gestão melhorada de estado.

    ID CVE

    CVE-2015-3799: um investigador anónimo em colaboração com o programa Zero Day Initiative da HP

  • AppleGraphicsControl

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema no AppleGraphicsControl que poderia levar à divulgação do esquema de memória do kernel. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-5768: JieTao Yang da KeenTeam

  • Bluetooth

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no IOBluetoothHCIController. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3779: Teddy Reed da Segurança do Facebook

  • Bluetooth

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: um problema de gestão de memória poderia ter levado à divulgação do esquema de memória do kernel. Este problema foi resolvido através da gestão melhorada de memória.

    ID CVE

    CVE-2015-3780: Roberto Paleari e Aristide Fattori da Emaze Networks

  • Bluetooth

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma app maliciosa poderá conseguir aceder às notificações de outros dispositivos iCloud

    Descrição: existia um problema no qual uma app maliciosa conseguiria aceder às notificações da Central de notificações de um Mac emparelhado por Bluetooth ou de um dispositivo iOS através do Apple Notification Center Service. O problema afetou dispositivos com o Handoff e que tiveram sessão iniciada na mesma conta iCloud. Este problema foi resolvido ao revogar o acesso ao Apple Notification Center Service.

    ID CVE

    CVE-2015-3786: Xiaolong Bai (Universidade de Tsinghua), System Security Lab (Universidade do Indiana), Tongxin Li (Universidade de Pequim), XiaoFeng Wang (Universidade do Indiana)

  • Bluetooth

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um atacante com uma posição privilegiada na rede poderá conseguir efetuar um ataque de recusa de serviço com pacotes de Bluetooth criados incorretamente

    Descrição: existia um problema na validação de entrada na análise dos pacotes ACL de Bluetooth. Este problema foi resolvido através da validação melhorada de entrada.

    ID CVE

    CVE-2015-3787: Trend Micro

  • Bluetooth

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um atacante local poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de ultrapassagem do limite máximo do buffer no processamento de mensagens XPC por parte do blued. Estes problemas foram resolvidos através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-3777: mitp0sh da [PDX]

  • bootp

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma rede Wi-Fi maliciosa poderá conseguir determinar a que redes um dispositivo acedeu anteriormente

    Descrição: ao estabelecer ligação a uma rede Wi-Fi, o iOS poderá ter difundido endereços MAC de redes anteriormente acedidas através do protocolo DNAv4. Este problema foi resolvido através da desativação do protocolo DNAv4 em redes Wi-Fi não cifradas.

    ID CVE

    CVE-2015-3778: Piers O'Hanlon do Oxford Internet Institute, Universidade de Oxford (no projeto EPSRC Being There)

  • CloudKit

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma aplicação maliciosa poderá conseguir aceder ao registo de utilizador do iCloud de um utilizador que tenha iniciado sessão anteriormente

    Descrição: existia uma inconsistência do estado no CloudKit ao terminar a sessão dos utilizadores. Este problema foi resolvido através do processamento melhorado do estado.

    ID CVE

    CVE-2015-3782: Deepkanwal Plaha da Universidade de Toronto

  • CoreMedia Playback

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam problemas de corrupção de memória no CoreMedia Playback. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada de entrada.

    ID CVE

    CVE-2015-5761: John Villamil (@day6reak), Equipa Pentest da Yahoo

  • CoreText

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada de entrada.

    ID CVE

    CVE-2015-5755: John Villamil (@day6reak), Equipa Pentest da Yahoo

  • curl

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: várias vulnerabilidades no cURL e libcurl anteriores à versão 7.38.0, uma das quais poderá permitir que atacantes remotos ignorem a Same Origin Policy.

    Descrição: existiam várias vulnerabilidades no cURL e libcurl anteriores à versão 7.38.0. Estas vulnerabilidades foram resolvidas através da atualização do cURL para a versão 7.43.0.

    ID CVE

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Data Detectors Engine

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: o processamento de uma sequência de caracteres Unicode pode provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam problemas de corrupção de memória no processamento de caracteres Unicode. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5750: M1x7e1 da Safeye Team (www.safeye.org)

  • Painel de preferências Data e hora

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: as aplicações que dependem do relógio do sistema poderão ter um comportamento inesperado

    Descrição: existia um problema de autorização ao modificar as preferências de data e hora do sistema. Este problema foi resolvido através de verificações adicionais de autorização.

    ID CVE

    CVE-2015-3757: Mark S C Smith

  • Aplicação Dicionário

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um atacante com uma posição privilegiada na rede poderá intercetar as consultas do utilizador na app Dicionário

    Descrição: existia um problema com a app Dicionário, que não protegia devidamente as comunicações do utilizador. Este problema foi resolvido através da mudança das consultas do Dicionário para HTTPS.

    ID CVE

    CVE-2015-3774: Jeffrey Paul da EEQJ, Jan Bee da Equipa de segurança da Google

  • DiskImages

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: o processamento de um ficheiro DMG criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória na análise de imagens DMG criadas incorretamente. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3800: Frank Graziano da Equipa Pentest da Yahoo 

  • dyld

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação dos caminhos no dyld. Este problema foi resolvido através do manuseamento melhorado do ambiente.

    ID CVE

    CVE-2015-3760: beist da grayhash, Stefan Esser

  • FontParser

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada de entrada.

    ID CVE

    CVE-2015-3804: Apple

    CVE-2015-5775: Apple

  • FontParser

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada de entrada.

    ID CVE

    CVE-2015-5756: John Villamil (@day6reak), Equipa Pentest da Yahoo

  • groff

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: vários problemas com o pdfroff

    Descrição: existiam vários problemas com o pdfroff, o mais grave dos quais poderá permitir a alteração arbitrária do sistema de ficheiros. Estes problemas foram resolvidos através da remoção do pdfroff.

    ID CVE

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: o processamento de uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de imagens TIFF. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-5758: Apple

  • ImageIO

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação da memória de processamento

    Descrição: existia um problema de acesso à memória não inicializada no processamento de imagens PNG e TIFF pelo ImageIO. Visitar um site malicioso poderá provocar o envio de dados da memória de processamento para o site. Este problema é resolvido através de uma melhoria na inicialização da memória e validação adicional das imagens PNG e TIFF.

    ID CVE

    CVE-2015-5781: Michal Zalewski

    CVE-2015-5782: Michal Zalewski

  • Install Framework Legacy

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios de raiz

    Descrição: existia um problema na forma como o binário de "execução" do Install.framework retirava privilégios. Este problema foi resolvido através da gestão melhorada dos privilégios.

    ID CVE

    CVE-2015-5784: Ian Beer do Google Project Zero

  • Install Framework Legacy

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de condição de disputa no binário de "execução" do Install.framework que resultava em privilégios retirados incorretamente. Este problema foi resolvido através do bloqueio melhorado do objeto.

    ID CVE

    CVE-2015-5754: Ian Beer do Google Project Zero

  • IOFireWireFamily

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existiam problemas de corrupção de memória no IOFireWireFamily. Estes problemas foram resolvidos através de uma validação adicional da entrada do tipo.

    ID CVE

    CVE-2015-3769: Ilja van Sprundel

    CVE-2015-3771: Ilja van Sprundel

    CVE-2015-3772: Ilja van Sprundel

  • IOGraphics

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no IOGraphics. Este problema foi resolvido através de uma validação adicional da entrada do tipo.

    ID CVE

    CVE-2015-3770: Ilja van Sprundel

    CVE-2015-5783: Ilja van Sprundel

  • IOHIDFamily

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no IOHIDFamily. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5774: Equipa TaiG Jailbreak

  • Kernel

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema na interface mach_port_space_info, que poderia ter levado à divulgação do esquema de memória do kernel. Este problema foi resolvido através da desativação da interface mach_port_space_info.

    ID CVE

    CVE-2015-3766: Cererdlong da Equipa Mobile Security da Alibaba, @PanguTeam

  • Kernel

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de funções do IOKit. Este problema foi resolvido através da validação melhorada dos argumentos do API do IOKit.

    ID CVE

    CVE-2015-3768: Ilja van Sprundel

  • Kernel

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um utilizador local poderá conseguir provocar uma recusa de serviço do sistema

    Descrição: existia um problema de esgotamento de recursos na unidade fasttrap. O problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5747: Maxime VILLARD da m00nbsd

  • Kernel

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um utilizador local poderá conseguir provocar uma recusa de serviço do sistema

    Descrição: existia um problema de validação na montagem de volumes HFS. Este problema foi resolvido através de verificações adicionais.

    ID CVE

    CVE-2015-5748: Maxime VILLARD da m00nbsd

  • Kernel

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código não assinado

    Descrição: existia um problema que permitia que código não assinado fosse adicionado a código assinado num ficheiro executável criado com intuito malicioso. Este problema foi resolvido através da validação melhorada da assinatura do código.

    ID CVE

    CVE-2015-3806: Equipa TaiG Jailbreak

  • Kernel

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um ficheiro executável criado com intuito malicioso poderia permitir a execução de código malicioso e não assinado

    Descrição: existia um problema na forma como os ficheiros executáveis multiarquitetura eram avaliados, o que poderia ter permitido que um código não assinado fosse executado. Este problema foi resolvido através da validação melhorada de ficheiros executáveis.

    ID CVE

    CVE-2015-3803: Equipa TaiG Jailbreak

  • Kernel

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um utilizador local poderá conseguir executar um código não assinado

    Descrição: existia um problema de validação no processamento de ficheiros Mach-O. Este problema foi resolvido através de verificações adicionais.

    ID CVE

    CVE-2015-3802: Equipa TaiG Jailbreak

    CVE-2015-3805: Equipa TaiG Jailbreak

  • Kernel

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: analisar um plist criado com intuito malicioso poderá levar ao encerramento inesperado da aplicação ou à execução de um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no processamento de plists criados incorretamente. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3776: Teddy Reed da Segurança do Facebook, Patrick Stein (@jollyjinx) da Jinx Germany

  • Kernel

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação dos caminhos. Este problema foi resolvido através do manuseamento melhorado do ambiente.

    ID CVE

    CVE-2015-3761: Apple

  • Libc

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: o processamento de uma expressão regular criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam problemas de corrupção de memória na biblioteca TRE. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3796: Ian Beer do Google Project Zero

    CVE-2015-3797: Ian Beer do Google Project Zero

    CVE-2015-3798: Ian Beer do Google Project Zero

  • Libinfo

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam problemas de corrupção de memória no processamento de sockets AF_INET6. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5776: Apple

  • libpthread

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no processamento de syscalls. Este problema foi resolvido através da verificação melhorada do estado de bloqueio.

    ID CVE

    CVE-2015-5757: Lufeng Li da Qihoo 360

  • libxml2

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: existiam várias vulnerabilidades nas versões do libxml2 anteriores à 2.9.2, a mais grave das quais poderá permitir que um atacante remoto provoque uma recusa de serviço

    Descrição: existiam várias vulnerabilidades nas versões do libxml2 anteriores à 2.9.2. Estas vulnerabilidades foram resolvidas através da atualização do libxml2 para a versão 2.9.2.

    ID CVE

    CVE-2012-6685: Felix Groebert da Google

    CVE-2014-0191: Felix Groebert da Google

  • libxml2

    Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: analisar um documento XML criado com intuito malicioso poderá levar à divulgação de informações do utilizador

    Descrição: existia um problema de acesso à memória no libxml2. Este problema foi resolvido através do processamento melhorado da memória

    ID CVE

    CVE-2014-3660: Felix Groebert da Google

  • libxml2

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: analisar um documento XML criado com intuito malicioso poderá levar à divulgação de informações do utilizador

    Descrição: existia um problema de corrupção de memória na análise de ficheiros XML. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3807: Apple

  • libxpc

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no processamento de mensagens XPC criadas incorretamente. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-3795: Mathew Rowley

  • mail_cmds

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um utilizador local poderá conseguir executar comandos shell arbitrários

    Descrição: existia um problema de validação na análise de endereços de e-mail do mailx. Este problema foi resolvido através de uma melhoria no manuseamento.

    ID CVE

    CVE-2014-7844

  • Central de notificações do OS X

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: uma aplicação maliciosa poderá conseguir aceder a todas as notificações previamente apresentadas aos utilizadores

    Descrição: existia um problema com a Central de notificações, que não apagava devidamente as notificações dos utilizadores. Este problema foi resolvido ao apagar corretamente as notificações fechadas pelos utilizadores.

    ID CVE

    CVE-2015-3764: Jonathan Zdziarski

  • ntfs

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no NTFS. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5763: Roberto Paleari e Aristide Fattori da Emaze Networks

  • OpenSSH

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: os atacantes remotos poderão conseguir ignorar um intervalo de tempo para tentativas falhadas de início de sessão e conseguir efetuar ataques forçados

    Descrição: existia um problema ao processar dispositivos de teclado interativos. Este problema foi resolvido através de uma validação melhorada do pedido de autenticação.

    ID CVE

    CVE-2015-5600

  • OpenSSL

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: existiam várias vulnerabilidades nas versões do OpenSSL anteriores à 0.9.8zg, a mais grave das quais poderá permitir que um atacante remoto provoque uma recusa de serviço.

    Descrição: existiam várias vulnerabilidades nas versões do OpenSSL anteriores à 0.9.8zg. Estes problemas foram resolvidos através da atualização do OpenSSL para a versão 0.9.8zg.

    ID CVE

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: analisar uma expressão regular criada com intuito malicioso poderá levar à divulgação de um encerramento inesperado da aplicação ou da execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite mínimo de números inteiros na forma como o Perl analisava expressões regulares. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2013-7422

  • PostgreSQL

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: um atacante poderá conseguir provocar um encerramento inesperado da aplicação ou obter acesso a dados sem a devida autenticação

    Descrição: existiam vários problemas no PostgreSQL 9.2.4. Estes problemas foram resolvidos através da atualização do PostgreSQP para a versão 9.2.13.

    ID CVE

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: existiam várias vulnerabilidades no Python 2.7.6, a mais grave das quais poderá levar à execução de um código arbitrário

    Descrição: existiam várias vulnerabilidades em versões do Python anteriores à 2.7.6. Estas vulnerabilidades foram resolvidas através da atualização do Python para a versão 2.7.10.

    ID CVE

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: analisar um documento do Office criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória na análise de documentos do Office. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5773: Apple

  • QL Office

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: analisar um ficheiro XML criado com intuito malicioso poderá provocar a divulgação de informações do utilizador

    Descrição: existia um problema com a referência da entidade externa na análise do ficheiro XML. Este problema foi resolvido através da análise melhorada.

    ID CVE

    CVE-2015-3784: Bruno Morisson da INTEGRITY S.A.

  • Esquema do Quartz Composer

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: analisar um ficheiro do QuickTime criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória na análise de ficheiros do QuickTime. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5771: Apple

  • Vista Rápida

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: procurar um site visualizado anteriormente poderá iniciar o navegador e processar esse site

    Descrição: existia um problema no qual o QuickLook teria a capacidade para executar JavaScript. Este problema foi resolvido através da proibição da execução de JavaScript.

    ID CVE

    CVE-2015-3781: Andrew Pouliot do Facebook, Anto Loyola da Qubole

  • QuickTime 7

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no QuickTime. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753: Apple

    CVE-2015-5779: Apple

  • QuickTime 7

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no QuickTime. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3765: Joe Burnett da Audio Poison

    CVE-2015-3788: Ryan Pentney e Richard Johnson da Cisco Talos

    CVE-2015-3789: Ryan Pentney e Richard Johnson da Cisco Talos

    CVE-2015-3790: Ryan Pentney e Richard Johnson da Cisco Talos

    CVE-2015-3791: Ryan Pentney e Richard Johnson da Cisco Talos

    CVE-2015-3792: Ryan Pentney e Richard Johnson da Cisco Talos

    CVE-2015-5751: WalkerFuz

  • SceneKit

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: visualizar um ficheiro Collada criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer na área dinâmica para dados no processamento de ficheiros Collada do SceneKit. Este problema foi resolvido através da validação melhorada de entrada.

    ID CVE

    CVE-2015-5772: Apple

  • SceneKit

    Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.4

    Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no SceneKit. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3783: Haris Andrianakis da Equipa de segurança da Google

  • Segurança

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um utilizador padrão poderá conseguir obter acesso a privilégios de administrador sem a devida autenticação

    Descrição: existia um problema no processamento da autenticação de utilizador. Este problema foi resolvido através da verificação melhorada de autenticação.

    ID CVE

    CVE-2015-3775: [Eldon Ahrold]

  • SMBClient

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no cliente SMB. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3773: Ilja van Sprundel

  • Speech UI

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: analisar uma cadeia Unicode criada com intuito malicioso com os avisos por voz ativados poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento das cadeias Unicode. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3794: Adam Greenbaum da Refinitive

  • sudo

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: existiam várias vulnerabilidades nas versões do sudo anteriores à 1.7.10p9, a mais grave das quais poderá permitir que um atacante aceda a ficheiros arbitrários

    Descrição: existiam várias vulnerabilidades nas versões do sudo anteriores à 1.7.10p9. Estes problemas foram resolvidos através da atualização do sudo para a versão 1.7.10p9.

    ID CVE

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: existiam várias vulnerabilidades no tcpdump 4.7.3, a mais grave das quais poderá permitir que um atacante remoto provoque a recusa de serviço.

    Descrição: existiam várias vulnerabilidades em versões do tcpdump anteriores à 4.7.3. Estas vulnerabilidades foram resolvidas através da atualização do tcpdump para a versão 4.7.3.

    ID CVE

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • Formatos de texto

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: analisar um ficheiro de texto criado com intuito malicioso poderá levar à divulgação das informações do utilizador

    Descrição: existia um problema na referência da entidade externa de XML com a análise do Editor de texto. Este problema foi resolvido através da análise melhorada.

    ID CVE

    CVE-2015-3762: Xiaoyong Wu da Equipa de segurança da Evernote

  • udf

    Disponível para: OS X Yosemite v10.10 a v10.10.4

    Impacto: o processamento de um ficheiro DMG criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória na análise de imagens DMG criadas incorretamente. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3767: beist da grayhash

O OS X Yosemite v10.10.5 inclui os conteúdos de segurança do Safari 8.0.8.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: