Acerca dos conteúdos de segurança do OS X Mountain Lion v10.8.5 e da Atualização de segurança 2013-004

Este documento descreve os conteúdos de segurança do OS X Mountain Lion v10.8.5 e da Atualização de segurança 2013-004.

Estes podem ser descarregados e instalados através das preferências da Atualização de software ou a partir de Descargas da Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

OS X Mountain Lion v10.8.5 e Atualização de segurança 2013-004

  • Apache

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: várias vulnerabilidades no Apache

    Descrição: existiam várias vulnerabilidades no Apache, sendo que a mais grave podia provocar a execução de scripts entre sites. Estes problemas foram resolvidos através da atualização do Apache para a versão 2.2.24.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: várias vulnerabilidades no BIND

    Descrição: existiam várias vulnerabilidades no BIND, sendo que a mais grave podia provocar uma recusa de serviço. Estes problemas foram resolvidos através da atualização do BIND para a versão 9.8.5-P1. O CVE-2012-5688 não afetava sistemas Mac OS X v10.7.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: os certificados raiz foram atualizados

    Descrição: vários certificados foram adicionados ou removidos da lista de raízes do sistema. A lista completa de raízes do sistema reconhecidas pode ser visualizada através da aplicação Acesso a porta-chaves.

  • ClamAV

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    Impacto: várias vulnerabilidades no ClamAV

    Descrição: existem várias vulnerabilidades no ClamAV, sendo que a mais grave pode provocar a execução de um código arbitrário. Esta atualização resolve os problemas ao atualizar o ClamAV para a versão 0.97.8.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: ver um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de dados codificados JBIG2 em ficheiros PDF. Este problema foi resolvido através da verificação adicional dos limites.

    CVE-ID

    CVE-2013-1025: Felix Groebert da Google Security Team

  • ImageIO

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: ver um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de dados codificados JPEG2000 em ficheiros PDF. Este problema foi resolvido através da verificação adicional dos limites.

    CVE-ID

    CVE-2013-1026: Felix Groebert da Google Security Team

  • Installer

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: era possível abrir pacotes após a revogação do certificado

    Descrição: quando um Installer detetava um certificado revogado, apresentava uma caixa de diálogo com uma opção para continuar. Este problema foi resolvido ao remover a caixa de diálogo e recusar qualquer pacote revogado.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: um atacante pode intercetar dados protegidos com IPSec Hybrid Auth

    Descrição: o nome DNS de um servidor IPSec Hybrid Auth não estava a efetuar a correspondência em relação ao certificado, o que permitia a um atacante com um certificado de qualquer servidor fazer-se passar por outro. Este problema foi resolvido através da verificação adequada do certificado.

    CVE-ID

    CVE-2013-1028: Alexander Traud de www.traud.de

  • Kernel

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: o utilizador de uma rede local pode provocar uma recusa de serviço

    Descrição: uma verificação incorreta no código de análise do pacote IGMP no kernel permitia que um utilizador que pudesse enviar pacotes IGMP para o sistema provocasse um pânico do kernel. Este problema foi resolvido através da remoção da verificação.

    CVE-ID

    CVE-2013-1029: Christopher Bohn da PROTECTSTAR INC.

  • Mobile Device Management

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: palavras-passe podem ser divulgadas a outros utilizadores locais

    Descrição: uma palavra-passe foi transmitida na linha de comandos para mdmclient, o que a tornou visível a outros utilizadores no mesmo sistema. O problema foi resolvido com a comunicação da palavra-passe através de uma ligação.

    CVE-ID

    CVE-2013-1030: Per Olofsson da Universidade Gotemburgo

  • OpenSSL

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: várias vulnerabilidades no OpenSSL

    Descrição: existiam várias vulnerabilidades no OpenSSL, sendo que a mais grave podia provocar a divulgação de dados do utilizador. Estes problemas foram resolvidos através da atualização do OpenSSL para a versão 0.9.8y.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: várias vulnerabilidades no PHP

    Descrição: existiam várias vulnerabilidades no PHP, sendo que a mais grave podia provocar a execução de um código arbitrário. Estes problemas foram resolvidos através da atualização do PHP para a versão 5.3.26.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: várias vulnerabilidades no PostgreSQL

    Descrição: existiam várias vulnerabilidades no PostgreSQL, sendo que a mais grave podia provocar a corrupção de dados ou o reencaminhamento de privilégios. O CVE-2013-1901 não afeta sistemas OS X Lion. Esta atualização resolve os problemas ao atualizar o PostgreSQL para a versão 9.1.9 em sistemas OS X Mountain Lion e para a versão 9.0.4 em sistemas OS X Lion.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: a proteção de ecrã pode não iniciar após o período de tempo especificado

    Descrição: existia um problema de bloqueio de asserção de energia. Este problema foi resolvido através do processamento melhorado do bloqueio.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: ver um ficheiro de filme criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção da memória no processamento de átomos “idsc” em ficheiros de filme do QuickTime. Este problema foi resolvido através da verificação adicional dos limites.

    CVE-ID

    CVE-2013-1032: Jason Kratzer em colaboração com a iDefense VCP

  • Screen Lock

    Disponível para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: um utilizador com um acesso de partilha de ecrã pode conseguir ignorar o bloqueio de ecrã quando outro utilizador tiver sessão iniciada

    Descrição: existia um problema de gestão da sessão no processamento de sessões de partilha de ecrã por parte do bloqueio de ecrã. Este problema foi resolvido através do controlo melhorado das sessões.

    CVE-ID

    CVE-2013-1033: Jeff Grisso da Atos IT Solutions, Sébastien Stormacq

  • sudo

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: um atacante com controlo da conta de um utilizador administrador pode conseguir obter privilégios raiz sem conhecer a palavra-passe do utilizador

    Descrição: ao definir o relógio do sistema, um atacante pode conseguir utilizar sudo para obter privilégios raiz em sistemas onde sudo foi utilizado anteriormente. No OS X, apenas os utilizadores administradores podem alterar o relógio do sistema. Este problema foi resolvido através da verificação de um marcador de hora inválido.

    CVE-ID

    CVE-2013-1775

  • Nota: o OS X Mountain Lion v10.8.5 também resolve um problema em que determinadas cadeias Unicode podiam fazer com que aplicações fossem encerradas inesperadamente.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: