Acerca dos conteúdos de segurança da Atualização do Mac OS X 10.4.8 e da Atualização de Segurança 2006-006

Este documento descreve os Atualização de Segurança 2006-006 e os conteúdos de segurança da Atualização do Mac OS X 10.4.8, que podem ser descarregados e instalados através das preferências da Atualização de software ou a partir das Descargas da Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter mais informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

Mac OS X v10.4.8 e Atualização de segurança 2006-006

  • CFNetwork

    ID CVE: CVE-2006-4390

    Disponível para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 até à versão Mac OS X v10.4.7, Mac OS X Server v10.4 até à versão Mac OS X Server v10.4.7

    Impacto: os clientes da CFNetwork, como o Safari, podem permitir que sites SSL não autenticados apareçam como autenticados

    Descrição: as ligações criadas ao utilizar SSL são normalmente autenticadas e cifradas. Quando a cifragem é implementada sem autenticação, os sites maliciosos poderão fazer passar-se por sites fidedignos. No caso do Safari, isto poderá fazer com que o ícone de cadeado seja apresentado quando a identidade de um site remoto não é de confiança. Esta atualização resolve o problema ao impedir ligações SSL anónimas por predefinição. Os nossos agradecimentos a Adam Bryzak da Universidade de Tecnologia de Queensland por ter comunicado este problema.

  • Flash Player

    ID CVE: CVE-2006-3311, CVE-2006-3587, CVE-2006-3588, CVE-2006-4640

    Disponível para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 até à versão Mac OS X v10.4.7, Mac OS X Server v10.4 até à versão Mac OS X Server v10.4.7

    Impacto: reproduzir conteúdos Flash poderá resultar na execução de código arbitrário

    Descrição: o Adobe Flash Player contém vulnerabilidades críticas que poderão resultar na execução de código arbitrário durante o processamento de conteúdos criados com intuito malicioso. Esta atualização resolve os problemas ao incorporar o Flash Player versão 9.0.16.0 no sistema Mac OS X v10.3.9 e o Flash Player versão 9.0.20.0 no sistema Mac OS X v10.4.

    Estão disponíveis mais informações no site da Adobe em http://www.adobe.com/support/security/bulletins/apsb06-11.html.

  • ImageIO

    ID CVE: CVE-2006-4391

    Disponível para: Mac OS X v10.4 até à versão Mac OS X v10.4.7, Mac OS X Server v10.4 até à versão Mac OS X Server v10.4.7

    Impacto: visualizar uma imagem JPEG2000 criada com intuito malicioso pode resultar na falha na aplicação ou a execução de um código arbitrário

    Descrição: ao criar cuidadosamente uma imagem JPEG2000 corrompida, um atacante poderá acionar uma ultrapassagem do limite máximo do buffer, o que poderá resultar numa falha na aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema com a imagem ao efetuar a validação adicional de imagens JPEG2000. Este problema não afeta os sistemas anteriores ao Mac OS X v10.4. Os nossos agradecimentos a Tom Saxton da Idle Loop Software Design por ter comunicado este problema.

  • Kernel

    ID CVE: CVE-2006-4392

    Disponível para: Mac OS X v10.4 até à versão Mac OS X v10.4.7, Mac OS X Server v10.4 até à versão Mac OS X Server v10.4.7

    Impacto: os utilizadores locais poderão conseguir executar código arbitrário com privilégios elevados

    Descrição: um erro ao processar o mecanismo no kernel, conhecido como portas de exceção Mach, oferece a capacidade de controlar programas quando são detetados determinados tipos de erros. Os utilizadores locais com intuito malicioso poderão utilizar este mecanismo para executar código arbitrário em programas privilegiados caso seja detetado um erro. Esta atualização resolve o problema ao restringir o acesso a portas de exceção Mach para programas privilegiados. Os nossos agradecimentos a Dino Dai Zovi da Matasano Security por ter comunicado este problema.

  • LoginWindow

    ID CVE: CVE-2006-4397

    Disponível para: Mac OS X v10.4 até à versão Mac OS X v10.4.7, Mac OS X Server v10.4 até à versão Mac OS X Server v10.4.7

    Impacto: após uma tentativa de iniciar sessão sem sucesso numa conta em rede, os pedidos de suporte do Kerberos poderão estar acessíveis a outros utilizadores locais

    Descrição: devido a uma condição de erro não verificada, os pedidos de suporte do Kerberos podem não estar a ser destruídos de forma adequada após tentativas, sem sucesso, de iniciar sessão numa conta em rede através da janela de início de sessão. Isto poderá resultar no acesso não autorizado de outros utilizadores locais a pedidos de suporte do Kerberos de um utilizador anterior. Esta atualização resolve o problema ao limpar a cache das credenciais após tentativas de início de sessão falhadas. Este problema não afeta os sistemas anteriores ao Mac OS X v10.4. Os nossos agradecimentos a Patrick Gallagher da Digital Peaks Corporation por ter comunicado este problema.

  • LoginWindow

    ID CVE: CVE-2006-4393

    Disponível para: Mac OS X v10.4 até à versão Mac OS X v10.4.7, Mac OS X Server v10.4 até à versão Mac OS X Server v10.4.7

    Impacto: pedidos de suporte do Kerberos podem estar acessíveis a outros utilizadores locais se a Mudança rápida de utilizador estiver ativada

    Descrição: um erro no processamento da Mudança rápida de utilizador poderá permitir que um utilizador local obtenha acesso a pedidos de suporte do Kerberos de outros utilizadores locais. A Mudança rápida de utilizador foi atualizada para prevenir esta situação. Este problema não afeta outros sistemas anteriores ao Mac OS X v10.4. Os nossos agradecimentos a Ragnar Sundblad do Instituto Real de Tecnologia, Estocolmo, Suécia por ter comunicado este problema.

  • LoginWindow

    ID CVE: CVE-2006-4394

    Disponível para: Mac OS X v10.4 até à versão Mac OS X v10.4.7, Mac OS X Server v10.4 até à versão Mac OS X Server v10.4.7

    Impacto: as contas em rede poderão conseguir ignorar os controlos do acesso ao serviço da janela de início de sessão

    Descrição: os controlos de acesso ao serviço podem utilizados para restringir os utilizadores que têm permissão para iniciar sessão num sistema através da janela de início de sessão. Um erro de lógica na janela de início de sessão permite que contas em rede sem GUID ignorem os controlos de acesso ao serviço. O problema afeta apenas os sistemas que estão configurados para utilizar os controlos de acesso ao serviço para a janela de início de sessão e para permitir que as contas em rede efetuem a autenticação de utilizadores sem um GUID. O problema foi resolvido ao processar adequadamente os controlos de acesso ao serviço na janela de início de sessão. Este problema não afeta os sistemas anteriores ao Mac OS X v10.4.

  • Preferences

    ID CVE: CVE-2006-4387

    Disponível para: Mac OS X v10.4 até à versão Mac OS X v10.4.7, Mac OS X Server v10.4 até à versão Mac OS X Server v10.4.7

    Impacto: após remover os privilégios de Administrador a uma conta, esta poderá continuar a gerir aplicações WebObjects

    Descrição: desmarcar a opção "Permitir ao utilizador administrar o computador" nas Preferências do sistema pode não remover a conta dos grupos appserveradm ou appserverusr. Estes grupos permitem que uma conta efetue a gestão de aplicações WebObjects. Esta atualização resolve o problema ao garantir que a conta é removida dos grupos adequados. Este problema não afeta os sistemas anteriores ao Mac OS X v10.4. Os nossos agradecimentos a Phillip Tejada da Fruit Bat Software por ter comunicado este problema.

  • QuickDraw Manager

    ID CVE: CVE-2006-4395

    Disponível para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 até à versão Mac OS X v10.4.7, Mac OS X Server v10.4 até à versão Mac OS X Server v10.4.7

    Impacto: abrir uma imagem PICT maliciosa com determinadas aplicações poderá resultar numa falha na aplicação ou a execução de um código arbitrário

    Descrição: determinadas aplicações invocam uma operação QuickDraw não suportada para apresentar imagens PICT. Ao criar cuidadosamente uma imagem PICT corrompida, um atacante poderá desencadear a corrupção de memória nestas aplicações, o que pode resultar numa falha na aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao prevenir a operação não suportada.

  • SASL

    ID CVE: CVE-2006-1721

    Disponível para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 até à versão Mac OS X v10.4.7, Mac OS X Server v10.4 até à versão Mac OS X Server v10.4.7

    Impacto: atacantes remotos poderão conseguir causar uma recusa de serviço do servidor IMAP

    Descrição: um problema no suporte de negociação DIGEST-MD5 no Cyrus SASL pode resultar numa falha de segmentação no servidor IMAP com um cabeçalho do realm criado com intuito malicioso. Esta atualização resolve o problema através do processamento melhorado dos cabeçalhos do realm nas tentativas de autenticação.

  • WebCore

    ID CVE: CVE-2006-3946

    Disponível para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 até à versão Mac OS X v10.4.7, Mac OS X Server v10.4 até à versão Mac OS X Server v10.4.7

    Impacto: visualizar uma página web criada com intuito malicioso pode resultar na execução de um código arbitrário

    Descrição: um erro de gestão da memória no processamento do WebKit de determinado HTML poderá permitir que um site malicioso provoque uma falha ou que potencialmente execute código arbitrário em nome do utilizador que vê o site. Esta atualização resolve o problema ao prevenir a condição que causa a ultrapassagem. Os nossos agradecimentos a Jens Kutilek da Netzallee, Lurene Grenier – Senior Research Engineer na Sourcefire VRT e Jose Avila III – Security Analyst na ONZRA por terem comunicado este problema.

  • Workgroup Manager

    ID CVE: CVE-2006-4399

    Disponível para: Mac OS X Server v10.4 até à versão Mac OS X Server v10.4.7

    Impacto: as contas numa origem NetInfo que parecem utilizar palavra-passe ShadowHash podem ainda utilizar cifragem

    Descrição: parece que o Workgroup Manager permite trocar o tipo de autenticação de cifragem para palavras-passe ShadowHash numa origem NetInfo, quando, na verdade, esta situação não se verifica. Atualizar a vista de uma conta numa origem NetInfo irá indicar, de forma adequada, que a cifragem ainda está a ser utilizada. Esta atualização resolve o problema ao impedir que os administradores selecionem palavras-passe ShadowHash para contas numa origem NetInfo. Os nossos agradecimentos a Chris Pepper da Universidade Rockefeller por ter comunicado este problema.

Nota de instalação

A Atualização de Software vai apresentar a atualização que se aplica à configuração do seu sistema. É necessária apenas uma.

A Atualização de Segurança 2006-006 será instalada nos sistemas Mac OS X v10.3.9 e Mac OS X Server v10.3.9.

O Mac OS X v10.4.8 contém as correções de segurança presentes na Atualização de Segurança 2006-006 e a instalação irá ser efetuada no sistema Mac OS X v10.4 ou posterior, bem como nos sistemas Mac OS X Server v10.4 ou posteriores.

Importante: as informações sobre produtos não fabricados pela Apple são disponibilizadas apenas para fins informativos e não constituem uma recomendação ou aprovação da Apple. Contacte o fornecedor para obter mais informações.

Data de publicação: