Esta atualização pode ser descarregada e instalada através da Atualização de software ou a partir do site do Suporte Apple.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Actualizações de segurança da Apple.
Nota: o OS X Mavericks 10.9.4 inclui os conteúdos de segurança do Safari 7.0.5.
OS X Mavericks v10.9.4 e Atualização de segurança 2014-003
Política de confiança de certificados
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: atualização da política de confiança de certificados
Descrição: a política de confiança de certificados foi atualizada. A lista completa de certificados pode ser consultada na seguinte ligação: https://support.apple.com/pt-pt/HT6005.
copyfile
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: abrir um ficheiro zip criado com intuito malicioso poderá provocar o encerramento inesperado da app ou a execução de código arbitrário
Descrição: existia um problema de troca de bytes fora dos limites no processamento de ficheiros AppleDouble em ficheiros zip. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-1370: Chaitanya (SegFault) em colaboração com a iDefense VCP
curl
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um atacante remoto poderá conseguir ganhar acesso à sessão de outro utilizador
Descrição: o cURL reutilizava as ligações NTLM quando estava ativado mais do que um método de autenticação, o que permitia que um atacante tivesse acesso à sessão de outro utilizador.
ID CVE
CVE-2014-0015
Dock
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: uma app na sandbox poderá ser capaz de contornar as restrições da sandbox
Descrição: existia um problema de índice de matriz não validado no processamento de mensagens de apps pela Dock. Uma mensagem criada maliciosamente poderia causar a desreferenciação de um indicador de função inválido, o que poderia provocar o encerramento inesperado da app ou a execução de código arbitrário.
ID CVE
CVE-2014-1371: um investigador anónimo em colaboração com o programa Zero Day Initiative da HP
Controladores da placa gráfica
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: um utilizador local pode ler a memória do kernel, a qual pode ser utilizada para ignorar a aleatoriedade da disposição dos espaços de endereços do kernel
Descrição: existia um problema de leitura fora dos limites no processamento de uma chamada do sistema. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-1372: Ian Beer do Google Project Zero
iBooks Commerce
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um atacante com acesso a um sistema poderá ser capaz de recuperar credenciais do ID Apple
Descrição: existia um problema no processamento de registos do iBooks. O processo iBooks podia registar as credenciais do ID Apple no registo do iBooks onde outros utilizadores do sistema podiam aceder às mesmas. Este problema foi resolvido ao impedir o registo de credenciais.
ID CVE
CVE-2014-1317: Steve Dunham
Intel Graphics Driver
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de validação no processamento de uma chamada OpenGL API. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-1373: Ian Beer do Google Project Zero
Intel Graphics Driver
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um utilizador local pode ler um indicador do kernel, o qual pode ser utilizado para ignorar a aleatoriedade dos espaços dos modelos de endereços do kernel
Descrição: um indicador do kernel armazenado num objeto IOKit podia ser recuperado do espaço do utilizador. Este problema foi resolvido através da remoção do indicador do objeto.
ID CVE
CVE-2014-1375
Intel Compute
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de validação no processamento de uma chamada OpenCL API. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-1376: Ian Beer do Google Project Zero
IOAcceleratorFamily
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de indexação no IOAcceleratorFamily. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-1377: Ian Beer do Google Project Zero
IOGraphicsFamily
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um utilizador local pode ler um indicador do kernel, o qual pode ser utilizado para ignorar a aleatoriedade dos espaços dos modelos de endereços do kernel
Descrição: um indicador do kernel armazenado num objeto IOKit podia ser recuperado do espaço do utilizador. Este problema foi resolvido utilizando um ID único em vez de um indicador.
ID CVE
CVE-2014-1378
IOReporting
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um utilizador local podia provocar a reinicialização inesperada do sistema
Descrição: existia um problema de perda de referência do indicador nulo no processamento de argumentos API do IOKit. Este problema foi resolvido através da validação adicional dos argumentos API do IOKit.
ID CVE
CVE-2014-1355: cunzhang de Adlab da Venustech
launchd
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de ultrapassagem do limite mínimo de números inteiros no launchd. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-1359: Ian Beer do Google Project Zero
launchd
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de ultrapassagem do limite máximo de buffer na área dinâmica para dados no processamento de mensagens IPC por parte do launchd. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-1356: Ian Beer do Google Project Zero
launchd
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de ultrapassagem do limite máximo de buffer na área dinâmica para dados no processamento de mensagens de registo por parte do launchd. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-1357: Ian Beer do Google Project Zero
launchd
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no launchd. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-1358: Ian Beer do Google Project Zero
Controladores da placa gráfica
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: uma ap maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existiam vários problemas de desreferências nulas nos controladores da placa gráfica do kernel. Um executável de 32 bits criado com intuito malicioso poderá ter sido capaz de obter privilégios elevados.
ID CVE
CVE-2014-1379: Ian Beer do Google Project Zero
Segurança – Porta-chaves
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: um atacante poderá ser capaz de introduzir texto em janelas com o ecrã bloqueado
Descrição: em circunstâncias raras, o bloqueio do ecrã não intercetava teclas. Isto poderia permitir que um atacante introduzisse texto em janelas mesmo com o ecrã bloqueado. Este problema foi resolvido através da melhoria da gestão do observador das teclas.
ID CVE
CVE-2014-1380: Ben Langfeld da Mojo Lingo LLC
Segurança - Transporte seguro
Disponível para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 a 10.9.3
Impacto: podem ser divulgados dois bytes de memória a um atacante remoto
Descrição: existia um problema de acesso de memória não inicializada no processamento de mensagens DTLS numa ligação TLS. Este problema foi resolvido aceitando apenas mensagens DTLS numa ligação DTLS.
ID CVE
CVE-2014-1361: Thijs Alkemade do The Adium Project
Thunderbolt
Disponível para: OS X Mavericks 10.9 a 10.9.3
Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de acesso de memória fora dos limites no processamento de chamadas IOThunderBoltController API. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-1381: Sarah, também conhecida como winocm
Entrada atualizada a 3 de fevereiro de 2020