Acerca dos conteúdos de segurança do OS X El Capitan v10.11

Este documento descreve os conteúdos de segurança do OS X El Capitan v10.11.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

OS X El Capitan v10.11

  • Contactos

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante local poderá conseguir injetar um código arbitrário a processos que estejam a carregar a estrutura dos Contactos

    Descrição: existia um problema no processamento de uma variável de ambiente por parte da estrutura dos Contactos. Este problema foi resolvido através do processamento melhorado das variáveis de ambiente.

    ID CVE

    CVE-2015-5897: Dan Bastone da Gotham Digital Science

  • AirScan

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá conseguir extrair dados de entidade de pacotes eSCL enviados através de uma ligação segura

    Descrição: existia um problema no processamento de pacotes eSCL. Este problema foi resolvido através de verificações de validação melhoradas.

    ID CVE

    CVE-2015-5853: um investigador anónimo

  • apache_mod_php

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: várias vulnerabilidades no PHP

    Descrição: existiam várias vulnerabilidades nas versões do PHP anteriores a 5.5.27, incluindo uma que poderia provocar a execução de um código remoto. Este problema foi resolvido através da atualização do PHP para a versão 5.5.27.

    ID CVE

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Kit da Apple Online Store

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: uma aplicação maliciosa poderá obter acesso aos elementos do porta-chaves de um utilizador

    Descrição: existia um problema na validação das listas de controlo de acesso para elementos do porta-chaves iCloud. Este problema foi resolvido através de uma melhoria na verificação das listas de controlo de acesso.

    ID CVE

    CVE-2015-5836: XiaoFeng Wang da Universidade do Indiana, Luyi Xing da Universidade do Indiana, Tongxin Li da Universidade de Pequim, Tongxin Li da Universidade de Pequim, Xiaolong Bai da Universidade de Tsinghua

  • AppleEvents

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador ligado através da partilha de ecrã pode enviar Eventos Apple para a sessão de um utilizador local

    Descrição: existia um problema na filtragem de Eventos Apple que permitia que alguns utilizadores enviassem eventos para outros utilizadores. Este problema foi resolvido melhorando o processamento de Eventos Apple.

    ID CVE

    CVE-2015-5849: Jack Lawrence (@_jackhl)

  • Áudio

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: reproduzir um ficheiro de áudio malicioso poderá provocar o encerramento inesperado da aplicação

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de áudio. Este problema foi resolvido através de uma melhoria no processamento da memória.

    ID CVE

    CVE-2015-5862: YoungJin Yoon do Information Security Lab. (Aconselhado por: Prof. Taekyoung Kwon), Universidade de Yonsei, Seul, Coreia

  • bash

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: várias vulnerabilidades no bash

    Descrição: existiam várias vulnerabilidades nas versões do bash anteriores à 3.2 com nível de correção 57. Estes problemas foram resolvidos atualizando a versão 3.2 do bash para o nível de correção 57.

    ID CVE

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Política de confiança de certificados

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: atualização da política de confiança de certificados

    Descrição: a política de confiança de certificados foi atualizada. A lista completa de certificados poderá ser consultada no seguinte artigo https://support.apple.com/pt-pt/HT202858.

  • Cookies da CFNetwork

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá monitorizar a atividade de um utilizador

    Descrição: existia um problema de cookies entre domínios no processamento de domínios de nível superior. Este problema foi resolvido através de uma melhoria nas restrições da criação de cookies.

    ID CVE

    CVE-2015-5885: Xiaofeng Zheng da Blue Lotus Team, Universidade de Tsinghua

  • CFNetwork FTPProtocol

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: servidores FTP maliciosos poderão conseguir que o cliente efetue o reconhecimento noutros hosts

    Descrição: existia um problema no processamento dos pacotes FTP ao utilizar o comando PASV. Este problema foi resolvido através de uma melhoria na validação.

    ID CVE

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um URL criado com intuito malicioso poderá ignorar HSTS e revelar dados confidenciais

    Descrição: existia um problema de vulnerabilidade de análise de URL no processamento de HSTS. Este problema foi resolvido através de uma melhoria na análise de URL.

    ID CVE

    CVE-2015-5858: Xiaofeng Zheng da Blue Lotus Team, Universidade de Tsinghua

  • CFNetwork HTTPProtocol

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá conseguir intercetar tráfego de rede

    Descrição: existia um problema no processamento das entradas da lista de pré-carregamento de HSTS no modo de navegação privada do Safari. Este problema foi resolvido através do processamento melhorado do estado.

    ID CVE

    CVE-2015-5859: Rosario Giustolisi da Universidade do Luxemburgo

  • CFNetwork HTTPProtocol

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um site malicioso poderá conseguir monitorizar utilizadores no modo de navegação privada do Safari

    Descrição: existia um problema no processamento do estado de HSTS no modo de navegação privada do Safari. Este problema foi resolvido através do processamento melhorado do estado.

    ID CVE

    CVE-2015-5860: Sam Greenhalgh da RadicalResearch Ltd

  • CFNetwork Proxies

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: ligar a um proxy web malicioso poderá definir cookies maliciosos para um site

    Descrição: existia um problema no processamento de respostas a ligações proxy. Este problema foi resolvido ao remover o cabeçalho set-cookie durante a análise da resposta de ligação.

    ID CVE

    CVE-2015-5841: Xiaofeng Zheng da Blue Lotus Team, Universidade de Tsinghua

  • CFNetwork SSL

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá intercetar ligações SSL/TLS

    Descrição: existia um problema na validação de certificados em NSURL quando um certificado era alterado. Este problema foi resolvido através da validação melhorada de certificados.

    ID CVE

    CVE-2015-5824: Timothy J. Wood do The Omni Group

  • CFNetwork SSL

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante poderá conseguir decifrar dados protegidos por SSL

    Descrição: foram identificados ataques à confidencialidade de RC4. Um atacante poderia forçar a utilização de RC4, mesmo que o servidor preferisse cifras melhores, bloqueando o TLS 1.0 e ligações mais elevadas até que o CFNetwork tentasse o SSL 3.0, que só permite RC4. Este problema foi resolvido ao remover o recurso a SSL 3.0.

  • CoreCrypto

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante poderá conseguir determinar uma chave privada

    Descrição: ao observar muitas tentativas de assinatura ou decifragem, um atacante poderia conseguir determinar a chave privada RSA. Este problema foi resolvido ao utilizar algoritmos de cifragem melhorados.

  • CoreText

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada da entrada.

    ID CVE

    CVE-2015-5874: John Villamil (@day6reak), Equipa Pentest da Yahoo

  • Dev Tools

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no dyld. O problema foi resolvido através de uma melhoria no processamento da memória.

    ID CVE

    CVE-2015-5876: beist da grayhash

  • Dev Tools

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: uma aplicação poderá conseguir contornar a assinatura de código

    Descrição: existia um problema com a validação da assinatura de código de executáveis. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-5839: @PanguTeam

  • Imagens de disco

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no DiskImages. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: uma aplicação poderá conseguir contornar a assinatura de código

    Descrição: existia um problema com a validação da assinatura de código de executáveis. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-5839: TaiG Jailbreak Team

  • EFI

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: uma aplicação maliciosa poderá impedir o arranque de alguns sistemas

    Descrição: existia um problema nos endereços abrangidos pelo registo de intervalo protegido. Este problema foi resolvido com a alteração do intervalo protegido.

    ID CVE

    CVE-2015-5900: Xeno Kovah e Corey Kallenberg da LegbaCore

  • EFI

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um adaptador Thunderbolt para Ethernet da Apple malicioso poderá afetar a alteração de firmware

    Descrição: os adaptadores Thunderbolt para Ethernet da Apple poderão modificar o firmware host se estiverem ligados durante uma atualização da EFI. Este problema foi resolvido através do não carregamento das ROM de opções durante as atualizações.

    ID CVE

    CVE-2015-5914: Trammell Hudson da Two Sigma Investments e snare

  • Finder

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: a funcionalidade "Esvaziar o Lixo de forma segura" poderá não apagar de modo seguro os ficheiros colocados no Lixo

    Descrição: existia um problema na garantia de eliminação segura de ficheiros do Lixo em determinados sistemas, como os sistemas com armazenamento flash. Este problema foi resolvido ao remover a opção "Esvaziar o Lixo de forma segura".

    ID CVE

    CVE-2015-5901: Apple

  • Game Center

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: uma aplicação maliciosa do Game Center poderá aceder ao endereço de e-mail de um jogador

    Descrição: existia um problema no Game Center relativo ao processamento do e-mail de um jogador. Este problema foi resolvido através de restrições melhoradas de acesso.

    ID CVE

    CVE-2015-5855: Nasser Alnasser

  • Heimdal

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante poderá conseguir reproduzir credenciais do Kerberos no servidor SMB

    Descrição: existia um problema de autenticação nas credenciais do Kerberos. Este problema foi resolvido através da validação adicional de credenciais utilizando uma lista de credenciais vistas recentemente.

    ID CVE

    CVE-2015-5913: Tarun Chopra da Microsoft Corporation, U.S. e Yu Fan da Microsoft Corporation, China

  • ICU

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: várias vulnerabilidades no ICU

    Descrição: existiam várias vulnerabilidades em versões do ICU anteriores à 53.1.0. Estes problemas foram resolvidos através da atualização do ICU para a versão 55.1.

    ID CVE

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand do Google Project Zero

  • Install Framework Legacy

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir obter privilégios de raiz

    Descrição: existia um problema de restrição na estrutura privada de Instalação que contém um executável privilegiado. Este problema foi resolvido removendo o executável.

    ID CVE

    CVE-2015-5888: Apple

  • Intel Graphics Driver

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existiam vários problemas de corrupção de memória no Intel Graphics Driver. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5830: Yuki MIZUNO (@mzyy94)

    CVE-2015-5877: Camillus Gerard Cai

  • IOAudioFamily

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema no IOAudioFamily que levava à divulgação de conteúdos da memória do kernel. Este problema foi resolvido ao permutar os indicadores do kernel.

    ID CVE

    CVE-2015-5864: Luca Todesco

  • IOGraphics

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: existiam vários problemas de corrupção de memória no kernel. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5871: Ilja van Sprundel da IOActive

    CVE-2015-5872: Ilja van Sprundel da IOActive

    CVE-2015-5873: Ilja van Sprundel da IOActive

    CVE-2015-5890: Ilja van Sprundel da IOActive

  • IOGraphics

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema no IOGraphics que poderia levar à divulgação do esquema de memória do kernel. Este problema foi resolvido através da gestão melhorada da memória.

    ID CVE

    CVE-2015-5865: Luca Todesco

  • IOHIDFamily

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existiam vários problemas de corrupção de memória no IOHIDFamily. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5866: Apple

    CVE-2015-5867: moony li da Trend Micro

  • IOStorageFamily

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante local poderá conseguir ler a memória do kernel

    Descrição: existia um problema de inicialização da memória no kernel. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5863: Ilja van Sprundel da IOActive

  • Kernel

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: existiam vários problemas de corrupção de memória no Kernel. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5868: Cererdlong da Equipa Mobile Security da Alibaba

    CVE-2015-5896: Maxime Villard da m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um processo local poderá modificar outros processos sem verificações de direitos

    Descrição: existia um problema no qual os processos de raiz que utilizavam a API processor_set_tasks tinham permissão para obter as portas de tarefas de outros processos. Este problema foi resolvido através de verificações de direitos adicionais.

    ID CVE

    CVE-2015-5882: Pedro Vilaça, em colaboração com a investigação original levada a cabo por Ming-chieh Pan e Sung-ting Tsai; Jonathan Levin

  • Kernel

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante local poderá controlar o valor de cookies em pilha

    Descrição: existiam várias vulnerabilidades na geração de cookies em pilha do espaço do utilizador. Este problema foi resolvido através de uma melhoria na geração de cookies em pilha.

    ID CVE

    CVE-2013-3951: Stefan Esser

  • Kernel

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante poderá conseguir iniciar ataques de recusa de serviço em ligações TCP direcionadas sem saber o número de sequência correto

    Descrição: existia um problema na validação de cabeçalhos de pacotes TCP por parte do xnu. Este problema foi resolvido através de uma melhoria na validação de cabeçalhos de pacotes TCP.

    ID CVE

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante num segmento de LAN local poderá desativar o reencaminhamento do IPv6

    Descrição: existia um problema de validação insuficiente no processamento de anúncios do router IPv6 que permitia que um atacante definisse o limite de saltos para um valor arbitrário. Este problema foi resolvido ao aplicar um limite mínimo de saltos.

    ID CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema que levava à divulgação do esquema de memória do kernel. Este problema foi resolvido através de uma melhoria na inicialização das estruturas da memória do kernel.

    ID CVE

    CVE-2015-5842: beist da grayhash

  • Kernel

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema nas interfaces de depuração que levava à divulgação de conteúdos da memória. Este problema foi resolvido através da limpeza da saída das interfaces de depuração.

    ID CVE

    CVE-2015-5870: Apple

  • Kernel

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir provocar uma recusa de serviço do sistema

    Descrição: existia um problema na gestão do estado na funcionalidade de depuração. Este problema foi resolvido através da validação melhorada.

    ID CVE

    CVE-2015-5902: Sergi Alvarez (pancake) da NowSecure Research Team

  • libc

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante remoto poderá conseguir provocar a execução de código arbitrário

    Descrição: existia um problema de corrupção de memória na função fflush. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2014-8611: Adrian Chadd e Alfred Perlstein da Norse Corporation

  • libpthread

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: existia um problema de corrupção de memória no kernel. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5899: Lufeng Li da Qihoo 360 Vulcan Team

  • libxpc

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: muitas ligações SSH poderiam causar uma recusa de serviço

    Descrição: o launchd não limitava o número de processos que podiam ser iniciados por uma ligação de rede. Este problema foi resolvido ao limitar o número de processos SSH a 40.

    ID CVE

    CVE-2015-5881: Apple

  • Janela de início de sessão

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: o bloqueio do ecrã pode não iniciar após o período de tempo especificado

    Descrição: existia um problema no bloqueio do ecrã capturado. O problema foi resolvido através da melhoria do processamento do bloqueio.

    ID CVE

    CVE-2015-5833: Carlos Moreira, Rainer Dorau da rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera e Jon Hall da Asynchrony

  • lukemftpd

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante remoto poderá conseguir recusar serviço ao servidor FTP

    Descrição: existia um problema de processamento de globs no tnftpd. Este problema foi resolvido através da validação melhorada de globs.

    ID CVE

    CVE-2015-5917: Maksymilian Arciemowicz da cxsecurity.com

  • Mail

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: imprimir um e-mail poderá divulgar informações confidenciais de utilizadores

    Descrição: existia um problema no Mail que ignorava as preferências do utilizador na impressão de e-mails. Este problema foi resolvido através da melhoria na aplicação das preferências do utilizador.

    ID CVE

    CVE-2015-5881: Owen DeLong da Akamai Technologies, Noritaka Kamiya, Dennis Klein da Eschenburg, Alemanha, Jeff Hammett da Systim Technology Partners

  • Mail

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá intercetar anexos de e-mails cifrados com S/MIME enviados através do Mail Drop

    Descrição: existia um problema no processamento de parâmetros de cifragem para anexos de e-mails de grandes dimensões enviados através do Mail Drop. Este problema foi resolvido ao deixar de disponibilizar o Mail Drop no envio de um e-mail cifrado.

    ID CVE

    CVE-2015-5884: John McCombs da Integrated Mapping Ltd

  • Ligação multiponto

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante local poderá conseguir observar dados multiponto não protegidos

    Descrição: existia um problema no processamento do inicializador de conveniência no qual a cifragem poderia ser ativamente desatualizada para uma sessão não cifrada. Este problema foi resolvido ao alterar o inicializador de conveniência de forma a requerer a cifragem.

    ID CVE

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) da Data Theorem

  • NetworkExtension

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: um problema de memória não inicializada no kernel originava a divulgação de conteúdos da memória do kernel. Este problema foi resolvido através da inicialização melhorada da memória.

    ID CVE

    CVE-2015-5831: Maxime Villard da m00nbsd

  • Notas

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir divulgar informações confidenciais de utilizadores

    Descrição: existia um problema na análise de ligações na aplicação Notas. Este problema foi resolvido através da validação melhorada da entrada.

    ID CVE

    CVE-2015-5878: Craig Young da Tripwire VERT, um investigador anónimo

  • Notas

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir divulgar informações confidenciais de utilizadores

    Descrição: existia um problema de execução de scripts entre sites na análise de texto pela aplicação Notas. Este problema foi resolvido através da validação melhorada da entrada.

    ID CVE

    CVE-2015-5875: xisigr da Tencent's Xuanwu LAB (www.tencent.com)

  • OpenSSH

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: várias vulnerabilidades no OpenSSH

    Descrição: existiam várias vulnerabilidades em versões do OpenSSH anteriores à 6.9. Estas vulnerabilidades foram resolvidas através da atualização do OpenSSH para a versão 6.9.

    ID CVE

    CVE-2014-2532

  • OpenSSL

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: várias vulnerabilidades no OpenSSL

    Descrição: existiam várias vulnerabilidades nas versões do OpenSSL anteriores à 0.9.8zg. Estes problemas foram resolvidos através da atualização do OpenSSL para a versão 0.9.8zg.

    ID CVE

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: várias vulnerabilidades no procmail

    Descrição: existiam várias vulnerabilidades nas versões do procmail anteriores à 3.22. Estes problemas foram resolvidos com a remoção do procmail.

    ID CVE

    CVE-2014-3618

  • remote_cmds

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios de raiz

    Descrição: existia um problema na utilização de variáveis de ambiente do binário rsh. Este problema foi resolvido ao retirar os privilégios de setuid do binário rsh.

    ID CVE

    CVE-2015-5889: Philip Pettersson

  • removefile

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: o processamento de dados maliciosos poderá provocar o encerramento inesperado da aplicação

    Descrição: existia um problema de ultrapassagem do limite máximo nas rotinas de divisão do checkint. Este problema foi resolvido através de uma melhoria nas rotinas de divisão.

    ID CVE

    CVE-2015-5840: um investigador anónimo

  • Ruby

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: várias vulnerabilidades no Ruby

    Descrição: existiam várias vulnerabilidades nas versões do Ruby anteriores à 2.0.0p645. Estes problemas foram resolvidos através da atualização do Ruby para a versão 2.0.0p645.

    ID CVE

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • Segurança

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: o estado de bloqueio do porta-chaves poderá ser incorretamente apresentado ao utilizador

    Descrição: existia um problema de gestão de estado na forma como o estado de bloqueio do porta-chaves era controlado. Este problema foi resolvido através da gestão melhorada do estado.

    ID CVE

    CVE-2015-5915: Peter Walz da Universidade do Minnesota, David Ephron, Eric E. Lawrence, Apple

  • Segurança

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: uma avaliação de confiança configurada para exigir a verificação da revogação poderá ser bem-sucedida mesmo que a verificação da revogação falhe

    Descrição: o identificador kSecRevocationRequirePositiveResponse era especificado, mas não implementado. Este problema foi resolvido implementando o identificador.

    ID CVE

    CVE-2015-5894: Hannes Oud da kWallet GmbH

  • Segurança

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um servidor remoto poderá pedir um certificado antes de se identificar

    Descrição: o Secure Transport aceitava a mensagem CertificateRequest antes da mensagem ServerKeyExchange. Este problema foi resolvido exigindo o ServerKeyExchange primeiro.

    ID CVE

    CVE-2015-5887: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti e Jean Karim Zinzindohoue da INRIA Paris-Rocquencourt e Cedric Fournet e Markulf Kohlweiss da Microsoft Research, Pierre-Yves Strub do IMDEA Software Institute

  • SMB

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: existia um problema de corrupção de memória no kernel. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5891: Ilja van Sprundel da IOActive

  • SMB

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema no SMBClient que levava à divulgação de conteúdos da memória do kernel. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-5893: Ilja van Sprundel da IOActive

  • SQLite

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: várias vulnerabilidades no SQLite v3.8.5

    Descrição: existiam várias vulnerabilidades no SQLite v3.8.5. Estes problemas foram resolvidos através da atualização do SQLite para a versão 3.8.10.2.

    ID CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Telefonia

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante local poderá efetuar chamadas telefónicas sem conhecimento do utilizador na utilização do Continuidade

    Descrição: existia um problema nas verificações de autorização para efetuar chamadas. Este problema foi resolvido através de verificações de autorização melhoradas.

    ID CVE

    CVE-2015-3785: Dan Bastone da Gotham Digital Science

  • Terminal

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: texto criado com intuito malicioso poderá enganar o utilizador no Terminal

    Descrição: o Terminal não processava os caracteres de substituição bidirecionais da mesma forma ao mostrar texto e ao selecionar texto. Este problema foi resolvido ao suprimir os caracteres de substituição bidirecionais no Terminal.

    ID CVE

    CVE-2015-5883: Lukas Schauer (@lukas2511)

  • tidy

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: aceder a um site criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no tidy. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5522: Fernando Muñoz da NULLGroup.com

    CVE-2015-5523: Fernando Muñoz da NULLGroup.com

  • Time Machine

    Disponível para: Mac OS X v10.6.8 e posterior

    Impacto: um atacante local poderá obter acesso a elementos do porta-chaves

    Descrição: existia um problema nas cópias de segurança efetuadas pela estrutura do Time Machine. Este problema foi resolvido através da melhoria na cobertura de cópias de segurança do Time Machine.

    ID CVE

    CVE-2015-5854: Jonas Magazinius da Assured AB

Nota: o OS X El Capitan v10.11 inclui os conteúdos de segurança do Safari 9.

 

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: