Acerca dos conteúdos de segurança da Atualização do Mac OS X 10.4.7
Este documento descreve o conteúdo de segurança da Atualização do Mac OS X 10.4.7, que pode ser descarregado e instalado através das preferências da Atualização de software ou a partir das Descargas da Apple.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, visite o site Segurança dos produtos Apple.
Para obter mais informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple."'
Atualização do Mac OS X v10.4.7
AFP
ID CVE: CVE-2006-1468
Disponível para: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: podem ser divulgados nomes de pastas e ficheiros a utilizadores não autorizados
Descrição: um problema no servidor AFP permite que os resultados da pesquisa incluam nomes de pastas e ficheiros a que o utilizador que efetuou a pesquisa não tem acesso. Isto pode resultar na divulgação de informações se os próprios nomes forem informação confidencial. Esta atualização resolve o problema assegurando que os resultados da pesquisa apenas incluem elementos para os quais o utilizador tem autorização. Este problema não afeta os sistemas anteriores ao Mac OS X v10.4.
ClamAV
ID CVE: CVE-2006-1989
Disponível para: Mac OS X Server v10.4.6
Impacto: quando a verificação de vírus está configurada para ser atualizada automaticamente, uma réplica maliciosa da base de dados pode provocar a execução de código arbitrário
Descrição: um problema na atualização automática da base de dados de vírus do ClamAV pode resultar na ultrapassagem do limite máximo do buffer da pilha. Uma réplica maliciosa ou falsificada da base de dados do ClamAV poderá conseguir provocar a execução de código arbitrário com os privilégios do ClamAV. O Mail, a verificação de vírus e as atualizações automáticas da base de dados de vírus estão desativados por predefinição. Esta atualização resolve o problema ao incorporar o ClamAV 0.88.2. Este problema não afeta os sistemas anteriores ao Mac OS X v10.4.
ImageIO
ID CVE: CVE-2006-1469
Disponível para: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: visualizar uma imagem TIFF criada com intuito malicioso pode causar a falha da aplicação ou a execução de código arbitrário
Descrição: ao criar cuidadosamente uma imagem TIFF corrompida, um atacante pode acionar uma ultrapassagem do limite máximo do buffer da pilha, o que poderá causar a falha da aplicação ou a execução de código arbitrário. Esta atualização resolve o problema ao efetuar a validação adicional de imagens TIFF. Este problema não afeta os sistemas anteriores ao Mac OS X v10.4.
launchd
ID CVE: CVE-2006-1471
Disponível para: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: os utilizadores locais poderão obter privilégios elevados
Descrição: uma vulnerabilidade ao nível das cadeias de formato no programa setuid launchd poderá permitir que um utilizador local autenticado execute código arbitrário com privilégios do sistema. Este problema está presente na função de registo do launchd. Esta atualização resolve o problema através de validação adicional ao registar mensagens. Este problema não afeta os sistemas anteriores ao Mac OS X v10.4. Os nossos agradecimentos a Kevin Finisterre da DigitalMunition por comunicar este problema.
OpenLDAP
ID CVE: CVE-2006-1470
Disponível para: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: atacantes remotos podem provocar a falha do servidor Open Directory
Descrição: ao criar cuidadosamente um pedido LDAP inválido, um atacante remoto pode conseguir acionar uma asserção no servidor OpenLDAP, o que resulta numa recusa de serviço. Esta atualização resolve o problema rejeitando o pedido inválido. Este problema não afeta os sistemas anteriores ao Mac OS X v10.4. Os nossos agradecimentos à equipa de investigação da Mu Security por comunicar este problema.