Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
OS X El Capitan 10.11.4 e Atualização de segurança 2016-002
apache_mod_php
Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11 a v10.11.3
Impacto: o processamento de um ficheiro .png criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existiam várias vulnerabilidades nas versões do libpng anteriores à 1.6.20. Estas vulnerabilidades foram resolvidas através da atualização do libpng para a versão 1.6.20.
ID CVE
CVE-2015-8126: Adam Mariš
CVE-2015-8472: Adam Mariš
AppleRAID
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.
ID CVE
CVE-2016-1733: Proteas da Equipa Nirvan da Qihoo 360
AppleRAID
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema de leitura fora dos limites que levava à divulgação da memória do kernel. Este problema foi resolvido através da validação melhorada da entrada.
ID CVE
CVE-2016-1732: Proteas da Equipa Nirvan da Qihoo 360
AppleUSBNetworking
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: um dispositivo USB poderá conseguir provocar uma recusa de serviço
Descrição: existia um problema de processamento na validação do pacote. Este problema foi resolvido através do processamento melhorado de erros.
ID CVE
CVE-2016-1734: Andrea Barisani e Andrej Rosano da Inverse Path
Bluetooth
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1735: Jeonghoon Shin@A.D.D
CVE-2016-1736: beist e ABH da BoB
Carbon
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: o processamento de um ficheiro .dfont criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no processamento de ficheiros de tipo de letra. Estes problemas foram resolvidos através da verificação melhorada dos limites.
ID CVE
CVE-2016-1737: HappilyCoded (ant4g0nist e r3dsm0k3)
dyld
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: um atacante poderá manipular aplicações com assinatura de código para executar um código arbitrário no contexto da aplicação
Descrição: existia um problema de verificação da assinatura de código no dyld. Este problema foi resolvido através da validação melhorada.
ID CVE
CVE-2016-1738: beist e ABH da BoB
FontParser
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1740: HappilyCoded (ant4g0nist e r3dsm0k3) em colaboração com o programa Zero Day Initiative (ZDI) da Trend Micro
HTTPProtocol
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: um atacante remoto poderá conseguir executar um código arbitrário
Descrição: existiam várias vulnerabilidades nas versões do nghttp2 anteriores à 1.6.0, a mais grave das quais poderia provocar a execução de um código remoto. Estes problemas foram resolvidos através da atualização do nghttp2 para a versão 1.6.0.
ID CVE
CVE-2015-8659
Intel Graphics Driver
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1743: Piotr Bania da Cisco Talos
CVE-2016-1744: Ian Beer do Google Project Zero
IOFireWireFamily
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: um utilizador local poderá conseguir provocar uma recusa de serviço
Descrição: foi resolvido um problema de desreferenciação do indicador nulo através da validação melhorada.
ID CVE
CVE-2016-1745: sweetchip da Grayhash
IOGraphics
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.
ID CVE
CVE-2016-1746: Peter Pi da Trend Micro em colaboração com o programa Zero Day Initiative (ZDI) da Trend Micro
CVE-2016-1747: Juwei Lin da Trend Micro em colaboração com o programa Zero Day Initiative (ZDI) da Trend Micro
IOHIDFamily
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir determinar o esquema de memória do kernel
Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1748: Brandon Azad
IOUSBFamily
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1749: Ian Beer do Google Project Zero e Juwei Lin da Trend Micro em colaboração com o programa Zero Day Initiative (ZDI) da Trend Micro
Kernel
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da melhoria da gestão da memória.
ID CVE
CVE-2016-1750: CESG
Kernel
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: existia uma condição de disputa durante a criação de novos processos. Este problema foi resolvido através do processamento melhorado do estado.
ID CVE
CVE-2016-1757: Ian Beer do Google Project Zero e Pedro Vilaça
Kernel
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de desreferenciação do indicador nulo através da validação melhorada da entrada.
ID CVE
CVE-2016-1756: Lufeng Li da Equipa Vulcan da Qihoo 360
Kernel
Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1754: Lufeng Li da Equipa Vulcan da Qihoo 360
CVE-2016-1755: Ian Beer do Google Project Zero
CVE-2016-1759: lokihardt
Kernel
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema de leitura fora dos limites que levava à divulgação da memória do kernel. Este problema foi resolvido através da validação melhorada da entrada.
ID CVE
CVE-2016-1758: Brandon Azad
Kernel
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foram resolvidos vários problemas de ultrapassagem do limite máximo dos números inteiros através da validação melhorada da entrada.
ID CVE
CVE-2016-1753: Juwei Lin da Trend Micro em colaboração com o programa Zero Day Initiative (ZDI) da Trend Micro
Kernel
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir provocar uma recusa de serviço
Descrição: foi resolvido um problema de recusa de serviço através da validação melhorada.
ID CVE
CVE-2016-1752: CESG
libxml2
Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11 a v10.11.3
Impacto: o processamento de um ficheiro XML criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2015-1819
CVE-2015-5312: David Drysdale da Google
CVE-2015-7499
CVE-2015-7500: Kostya Serebryany da Google
CVE-2015-7942: Kostya Serebryany da Google
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1761: wol0xff em colaboração com o programa Zero Day Initiative (ZDI) da Trend Micro
CVE-2016-1762
Mensagens
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: clicar numa ligação JavaScript pode revelar informações confidenciais do utilizador
Descrição: existia um problema no processamento de ligações JavaScript. Este problema foi resolvido através de verificações melhoradas da política de segurança de conteúdos.
ID CVE
CVE-2016-1764: Matthew Bryant da Uber Security Team (anteriormente da Bishop Fox), Joe DeMesy e Shubham Shah da Bishop Fox
Mensagens
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: um atacante capaz de contornar a fixação de certificados da Apple, intercetar ligações TLS, injetar mensagens e registar mensagens cifradas do tipo de anexo poderá conseguir ler anexos
Descrição: foi resolvido um problema criptográfico através da rejeição de mensagens duplicadas por parte do cliente.
ID CVE
CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers e Michael Rushanan da Universidade Johns Hopkins
Controladores de gráficos NVIDIA
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1741: Ian Beer do Google Project Zero
OpenSSH
Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11 a v10.11.3
Impacto: ligar a um servidor poderá divulgar informações confidenciais do utilizador, tais como as palavras-chave privadas de um cliente
Descrição: o roaming, ativado por predefinição no cliente OpenSSH, provocava uma divulgação de informação e um problema de ultrapassagem do limite máximo do buffer. Estes problemas foram resolvidos através da desativação do roaming no cliente.
ID CVE
CVE-2016-0777: Qualys
CVE-2016-0778: Qualys
OpenSSH
Disponível para: OS X Mavericks v10.9.5 e OS X Yosemite v10.10.5
Impacto: várias vulnerabilidades no LibreSSL
Descrição: existiam várias vulnerabilidades em versões do LibreSSL anteriores à 2.1.8. Estas vulnerabilidades foram resolvidas através da atualização do LibreSSL para a versão 2.1.8.
ID CVE
CVE-2015-5333: Qualys
CVE-2015-5334: Qualys
OpenSSL
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: um atacante remoto poderá conseguir provocar uma recusa de serviço
Descrição: existia uma fuga de memória nas versões do OpenSSL anteriores à 0.9.8zh. Este problema foi resolvido através da atualização do OpenSSL para a versão 0.9.8zh.
ID CVE
CVE-2015-3195
Python
Disponível para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 e OS X El Capitan v10.11 a v10.11.3
Impacto: o processamento de um ficheiro .png criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existiam várias vulnerabilidades nas versões do libpng anteriores à 1.6.20. Estas vulnerabilidades foram resolvidas através da atualização do libpng para a versão 1.6.20.
ID CVE
CVE-2014-9495
CVE-2015-0973
CVE-2015-8126: Adam Mariš
CVE-2015-8472: Adam Mariš
QuickTime
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: o processamento de uma imagem FlashPix Bitmap criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1767: Francis Provencher da COSIG
CVE-2016-1768: Francis Provencher da COSIG
QuickTime
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: o processamento de um documento do Photoshop criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1769: Francis Provencher da COSIG
Lembretes
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: clicar numa ligação tel pode iniciar uma chamada sem alertar o utilizador
Descrição: um utilizador não era notificado antes de iniciar uma chamada. Este problema foi resolvido através de verificações melhoradas de direitos.
ID CVE
CVE-2016-1770: Guillaume Ross da Rapid7 e Laurent Chouinard da Laurent.ca
Ruby
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: um atacante local poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia uma vulnerabilidade na utilização de cadeias não seguras nas versões anteriores à 2.0.0-p648. Este problema foi resolvido através da atualização para a versão 2.0.0-p648.
ID CVE
CVE-2015-7551
Segurança
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: um utilizador local poderá conseguir verificar a existência de ficheiros arbitrários
Descrição: existia um problema de permissões nas ferramentas de assinatura de código. Este problema foi resolvido através da verificação adicional de propriedade.
ID CVE
CVE-2016-1773: Mark Mentovai da Google Inc.
Segurança
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: o processamento de um certificado criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no descodificador ASN.1. Este problema foi resolvido através da validação melhorada da entrada.
ID CVE
CVE-2016-1950: Francis Gabriel da Quarkslab
Tcl
Disponível para: OS X Yosemite v10.10.5 e OS X El Capitan v10.11 a v10.11.3
Impacto: o processamento de um ficheiro .png criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existiam várias vulnerabilidades em versões do libpng anteriores à 1.6.20. Estas vulnerabilidades foram resolvidas através da remoção do libpng.
ID CVE
CVE-2015-8126
TrueTypeScaler
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada da entrada.
ID CVE
CVE-2016-1775: 0x1byte em colaboração com o programa Zero Day Initiative (ZDI) da Trend Micro
Wi-Fi
Disponível para: OS X El Capitan v10.11 a v10.11.3
Impacto: um atacante com uma posição privilegiada na rede poderá conseguir executar um código arbitrário
Descrição: existia um problema de validação da estrutura e de corrupção de memória num determinado ethertype. Este problema foi resolvido através da validação adicional do ethertype e do processamento melhorado da memória.
ID CVE
CVE-2016-0801: um investigador anónimo
CVE-2016-0802: um investigador anónimo
O OS X El Capitan 10.11.4 inclui os conteúdos de segurança do Safari 9.1.