Acerca dos conteúdos de segurança do OS X El Capitan v10.11
Este documento descreve os conteúdos de segurança do OS X El Capitan v10.11.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
OS X El Capitan v10.11
Contactos
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante local poderá conseguir injetar um código arbitrário a processos que estejam a carregar a estrutura dos Contactos
Descrição: existia um problema no processamento de uma variável de ambiente por parte da estrutura dos Contactos. Este problema foi resolvido através do processamento melhorado das variáveis de ambiente.
ID CVE
CVE-2015-5897: Dan Bastone da Gotham Digital Science
AirScan
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante com uma posição privilegiada na rede poderá conseguir extrair dados de entidade de pacotes eSCL enviados através de uma ligação segura
Descrição: existia um problema no processamento de pacotes eSCL. Este problema foi resolvido através de verificações de validação melhoradas.
ID CVE
CVE-2015-5853: um investigador anónimo
apache_mod_php
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: várias vulnerabilidades no PHP
Descrição: existiam várias vulnerabilidades nas versões do PHP anteriores a 5.5.27, incluindo uma que poderia provocar a execução de um código remoto. Este problema foi resolvido através da atualização do PHP para a versão 5.5.27.
ID CVE
CVE-2014-9425
CVE-2014-9427
CVE-2014-9652
CVE-2014-9705
CVE-2014-9709
CVE-2015-0231
CVE-2015-0232
CVE-2015-0235
CVE-2015-0273
CVE-2015-1351
CVE-2015-1352
CVE-2015-2301
CVE-2015-2305
CVE-2015-2331
CVE-2015-2348
CVE-2015-2783
CVE-2015-2787
CVE-2015-3329
CVE-2015-3330
Kit da Apple Online Store
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: uma aplicação maliciosa poderá obter acesso aos elementos do porta-chaves de um utilizador
Descrição: existia um problema na validação das listas de controlo de acesso para elementos do porta-chaves iCloud. Este problema foi resolvido através de uma melhoria na verificação das listas de controlo de acesso.
ID CVE
CVE-2015-5836: XiaoFeng Wang da Universidade do Indiana, Luyi Xing da Universidade do Indiana, Tongxin Li da Universidade de Pequim, Tongxin Li da Universidade de Pequim, Xiaolong Bai da Universidade de Tsinghua
AppleEvents
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador ligado através da partilha de ecrã pode enviar Eventos Apple para a sessão de um utilizador local
Descrição: existia um problema na filtragem de Eventos Apple que permitia que alguns utilizadores enviassem eventos para outros utilizadores. Este problema foi resolvido melhorando o processamento de Eventos Apple.
ID CVE
CVE-2015-5849: Jack Lawrence (@_jackhl)
Áudio
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: reproduzir um ficheiro de áudio malicioso poderá provocar o encerramento inesperado da aplicação
Descrição: existia um problema de corrupção de memória no processamento de ficheiros de áudio. Este problema foi resolvido através de uma melhoria no processamento da memória.
ID CVE
CVE-2015-5862: YoungJin Yoon do Information Security Lab. (Aconselhado por: Prof. Taekyoung Kwon), Universidade de Yonsei, Seul, Coreia
bash
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: várias vulnerabilidades no bash
Descrição: existiam várias vulnerabilidades nas versões do bash anteriores à 3.2 com nível de correção 57. Estes problemas foram resolvidos atualizando a versão 3.2 do bash para o nível de correção 57.
ID CVE
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Política de confiança de certificados
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: atualização da política de confiança de certificados
Descrição: a política de confiança de certificados foi atualizada. A lista completa de certificados poderá ser consultada no seguinte artigo https://support.apple.com/pt-pt/HT202858.
Cookies da CFNetwork
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante com uma posição privilegiada na rede poderá monitorizar a atividade de um utilizador
Descrição: existia um problema de cookies entre domínios no processamento de domínios de nível superior. Este problema foi resolvido através de uma melhoria nas restrições da criação de cookies.
ID CVE
CVE-2015-5885: Xiaofeng Zheng da Blue Lotus Team, Universidade de Tsinghua
CFNetwork FTPProtocol
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: servidores FTP maliciosos poderão conseguir que o cliente efetue o reconhecimento noutros hosts
Descrição: existia um problema no processamento dos pacotes FTP ao utilizar o comando PASV. Este problema foi resolvido através de uma melhoria na validação.
ID CVE
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um URL criado com intuito malicioso poderá ignorar HSTS e revelar dados confidenciais
Descrição: existia um problema de vulnerabilidade de análise de URL no processamento de HSTS. Este problema foi resolvido através de uma melhoria na análise de URL.
ID CVE
CVE-2015-5858: Xiaofeng Zheng da Blue Lotus Team, Universidade de Tsinghua
CFNetwork HTTPProtocol
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante com uma posição privilegiada na rede poderá conseguir intercetar tráfego de rede
Descrição: existia um problema no processamento das entradas da lista de pré-carregamento de HSTS no modo de navegação privada do Safari. Este problema foi resolvido através do processamento melhorado do estado.
ID CVE
CVE-2015-5859: Rosario Giustolisi da Universidade do Luxemburgo
CFNetwork HTTPProtocol
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um site malicioso poderá conseguir monitorizar utilizadores no modo de navegação privada do Safari
Descrição: existia um problema no processamento do estado de HSTS no modo de navegação privada do Safari. Este problema foi resolvido através do processamento melhorado do estado.
ID CVE
CVE-2015-5860: Sam Greenhalgh da RadicalResearch Ltd
CFNetwork Proxies
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: ligar a um proxy web malicioso poderá definir cookies maliciosos para um site
Descrição: existia um problema no processamento de respostas a ligações proxy. Este problema foi resolvido ao remover o cabeçalho set-cookie durante a análise da resposta de ligação.
ID CVE
CVE-2015-5841: Xiaofeng Zheng da Blue Lotus Team, Universidade de Tsinghua
CFNetwork SSL
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante com uma posição privilegiada na rede poderá intercetar ligações SSL/TLS
Descrição: existia um problema na validação de certificados em NSURL quando um certificado era alterado. Este problema foi resolvido através da validação melhorada de certificados.
ID CVE
CVE-2015-5824: Timothy J. Wood do The Omni Group
CFNetwork SSL
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante poderá conseguir decifrar dados protegidos por SSL
Descrição: foram identificados ataques à confidencialidade de RC4. Um atacante poderia forçar a utilização de RC4, mesmo que o servidor preferisse cifras melhores, bloqueando o TLS 1.0 e ligações mais elevadas até que o CFNetwork tentasse o SSL 3.0, que só permite RC4. Este problema foi resolvido ao remover o recurso a SSL 3.0.
CoreCrypto
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante poderá conseguir determinar uma chave privada
Descrição: ao observar muitas tentativas de assinatura ou decifragem, um atacante poderia conseguir determinar a chave privada RSA. Este problema foi resolvido ao utilizar algoritmos de cifragem melhorados.
CoreText
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada da entrada.
ID CVE
CVE-2015-5874: John Villamil (@day6reak), Equipa Pentest da Yahoo
Dev Tools
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória no dyld. O problema foi resolvido através de uma melhoria no processamento da memória.
ID CVE
CVE-2015-5876: beist da grayhash
Dev Tools
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: uma aplicação poderá conseguir contornar a assinatura de código
Descrição: existia um problema com a validação da assinatura de código de executáveis. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2015-5839: @PanguTeam
Imagens de disco
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória no DiskImages. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: uma aplicação poderá conseguir contornar a assinatura de código
Descrição: existia um problema com a validação da assinatura de código de executáveis. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2015-5839: TaiG Jailbreak Team
EFI
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: uma aplicação maliciosa poderá impedir o arranque de alguns sistemas
Descrição: existia um problema nos endereços abrangidos pelo registo de intervalo protegido. Este problema foi resolvido com a alteração do intervalo protegido.
ID CVE
CVE-2015-5900: Xeno Kovah e Corey Kallenberg da LegbaCore
EFI
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um adaptador Thunderbolt para Ethernet da Apple malicioso poderá afetar a alteração de firmware
Descrição: os adaptadores Thunderbolt para Ethernet da Apple poderão modificar o firmware host se estiverem ligados durante uma atualização da EFI. Este problema foi resolvido através do não carregamento das ROM de opções durante as atualizações.
ID CVE
CVE-2015-5914: Trammell Hudson da Two Sigma Investments e snare
Finder
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: a funcionalidade "Esvaziar o Lixo de forma segura" poderá não apagar de modo seguro os ficheiros colocados no Lixo
Descrição: existia um problema na garantia de eliminação segura de ficheiros do Lixo em determinados sistemas, como os sistemas com armazenamento flash. Este problema foi resolvido ao remover a opção "Esvaziar o Lixo de forma segura".
ID CVE
CVE-2015-5901: Apple
Game Center
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: uma aplicação maliciosa do Game Center poderá aceder ao endereço de e-mail de um jogador
Descrição: existia um problema no Game Center relativo ao processamento do e-mail de um jogador. Este problema foi resolvido através de restrições melhoradas de acesso.
ID CVE
CVE-2015-5855: Nasser Alnasser
Heimdal
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante poderá conseguir reproduzir credenciais do Kerberos no servidor SMB
Descrição: existia um problema de autenticação nas credenciais do Kerberos. Este problema foi resolvido através da validação adicional de credenciais utilizando uma lista de credenciais vistas recentemente.
ID CVE
CVE-2015-5913: Tarun Chopra da Microsoft Corporation, U.S. e Yu Fan da Microsoft Corporation, China
ICU
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: várias vulnerabilidades no ICU
Descrição: existiam várias vulnerabilidades em versões do ICU anteriores à 53.1.0. Estes problemas foram resolvidos através da atualização do ICU para a versão 55.1.
ID CVE
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand do Google Project Zero
Install Framework Legacy
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir obter privilégios de raiz
Descrição: existia um problema de restrição na estrutura privada de Instalação que contém um executável privilegiado. Este problema foi resolvido removendo o executável.
ID CVE
CVE-2015-5888: Apple
Intel Graphics Driver
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existiam vários problemas de corrupção de memória no Intel Graphics Driver. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2015-5830: Yuki MIZUNO (@mzyy94)
CVE-2015-5877: Camillus Gerard Cai
IOAudioFamily
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema no IOAudioFamily que levava à divulgação de conteúdos da memória do kernel. Este problema foi resolvido ao permutar os indicadores do kernel.
ID CVE
CVE-2015-5864: Luca Todesco
IOGraphics
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: existiam vários problemas de corrupção de memória no kernel. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2015-5871: Ilja van Sprundel da IOActive
CVE-2015-5872: Ilja van Sprundel da IOActive
CVE-2015-5873: Ilja van Sprundel da IOActive
CVE-2015-5890: Ilja van Sprundel da IOActive
IOGraphics
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema no IOGraphics que poderia levar à divulgação do esquema de memória do kernel. Este problema foi resolvido através da gestão melhorada da memória.
ID CVE
CVE-2015-5865: Luca Todesco
IOHIDFamily
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existiam vários problemas de corrupção de memória no IOHIDFamily. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2015-5866: Apple
CVE-2015-5867: moony li da Trend Micro
IOStorageFamily
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante local poderá conseguir ler a memória do kernel
Descrição: existia um problema de inicialização da memória no kernel. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-5863: Ilja van Sprundel da IOActive
Kernel
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: existiam vários problemas de corrupção de memória no Kernel. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2015-5868: Cererdlong da Equipa Mobile Security da Alibaba
CVE-2015-5896: Maxime Villard da m00nbsd
CVE-2015-5903: CESG
Kernel
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um processo local poderá modificar outros processos sem verificações de direitos
Descrição: existia um problema no qual os processos de raiz que utilizavam a API processor_set_tasks tinham permissão para obter as portas de tarefas de outros processos. Este problema foi resolvido através de verificações de direitos adicionais.
ID CVE
CVE-2015-5882: Pedro Vilaça, em colaboração com a investigação original levada a cabo por Ming-chieh Pan e Sung-ting Tsai; Jonathan Levin
Kernel
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante local poderá controlar o valor de cookies em pilha
Descrição: existiam várias vulnerabilidades na geração de cookies em pilha do espaço do utilizador. Este problema foi resolvido através de uma melhoria na geração de cookies em pilha.
ID CVE
CVE-2013-3951: Stefan Esser
Kernel
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante poderá conseguir iniciar ataques de recusa de serviço em ligações TCP direcionadas sem saber o número de sequência correto
Descrição: existia um problema na validação de cabeçalhos de pacotes TCP por parte do xnu. Este problema foi resolvido através de uma melhoria na validação de cabeçalhos de pacotes TCP.
ID CVE
CVE-2015-5879: Jonathan Looney
Kernel
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante num segmento de LAN local poderá desativar o reencaminhamento do IPv6
Descrição: existia um problema de validação insuficiente no processamento de anúncios do router IPv6 que permitia que um atacante definisse o limite de saltos para um valor arbitrário. Este problema foi resolvido ao aplicar um limite mínimo de saltos.
ID CVE
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema que levava à divulgação do esquema de memória do kernel. Este problema foi resolvido através de uma melhoria na inicialização das estruturas da memória do kernel.
ID CVE
CVE-2015-5842: beist da grayhash
Kernel
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema nas interfaces de depuração que levava à divulgação de conteúdos da memória. Este problema foi resolvido através da limpeza da saída das interfaces de depuração.
ID CVE
CVE-2015-5870: Apple
Kernel
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir provocar uma recusa de serviço do sistema
Descrição: existia um problema na gestão do estado na funcionalidade de depuração. Este problema foi resolvido através da validação melhorada.
ID CVE
CVE-2015-5902: Sergi Alvarez (pancake) da NowSecure Research Team
libc
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante remoto poderá conseguir provocar a execução de código arbitrário
Descrição: existia um problema de corrupção de memória na função fflush. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2014-8611: Adrian Chadd e Alfred Perlstein da Norse Corporation
libpthread
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: existia um problema de corrupção de memória no kernel. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-5899: Lufeng Li da Qihoo 360 Vulcan Team
libxpc
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: muitas ligações SSH poderiam causar uma recusa de serviço
Descrição: o launchd não limitava o número de processos que podiam ser iniciados por uma ligação de rede. Este problema foi resolvido ao limitar o número de processos SSH a 40.
ID CVE
CVE-2015-5881: Apple
Janela de início de sessão
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: o bloqueio do ecrã pode não iniciar após o período de tempo especificado
Descrição: existia um problema no bloqueio do ecrã capturado. O problema foi resolvido através da melhoria do processamento do bloqueio.
ID CVE
CVE-2015-5833: Carlos Moreira, Rainer Dorau da rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera e Jon Hall da Asynchrony
lukemftpd
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante remoto poderá conseguir recusar serviço ao servidor FTP
Descrição: existia um problema de processamento de globs no tnftpd. Este problema foi resolvido através da validação melhorada de globs.
ID CVE
CVE-2015-5917: Maksymilian Arciemowicz da cxsecurity.com
Mail
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: imprimir um e-mail poderá divulgar informações confidenciais de utilizadores
Descrição: existia um problema no Mail que ignorava as preferências do utilizador na impressão de e-mails. Este problema foi resolvido através da melhoria na aplicação das preferências do utilizador.
ID CVE
CVE-2015-5881: Owen DeLong da Akamai Technologies, Noritaka Kamiya, Dennis Klein da Eschenburg, Alemanha, Jeff Hammett da Systim Technology Partners
Mail
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante com uma posição privilegiada na rede poderá intercetar anexos de e-mails cifrados com S/MIME enviados através do Mail Drop
Descrição: existia um problema no processamento de parâmetros de cifragem para anexos de e-mails de grandes dimensões enviados através do Mail Drop. Este problema foi resolvido ao deixar de disponibilizar o Mail Drop no envio de um e-mail cifrado.
ID CVE
CVE-2015-5884: John McCombs da Integrated Mapping Ltd
Ligação multiponto
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante local poderá conseguir observar dados multiponto não protegidos
Descrição: existia um problema no processamento do inicializador de conveniência no qual a cifragem poderia ser ativamente desatualizada para uma sessão não cifrada. Este problema foi resolvido ao alterar o inicializador de conveniência de forma a requerer a cifragem.
ID CVE
CVE-2015-5851: Alban Diquet (@nabla_c0d3) da Data Theorem
NetworkExtension
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: um problema de memória não inicializada no kernel originava a divulgação de conteúdos da memória do kernel. Este problema foi resolvido através da inicialização melhorada da memória.
ID CVE
CVE-2015-5831: Maxime Villard da m00nbsd
Notas
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir divulgar informações confidenciais de utilizadores
Descrição: existia um problema na análise de ligações na aplicação Notas. Este problema foi resolvido através da validação melhorada da entrada.
ID CVE
CVE-2015-5878: Craig Young da Tripwire VERT, um investigador anónimo
Notas
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir divulgar informações confidenciais de utilizadores
Descrição: existia um problema de execução de scripts entre sites na análise de texto pela aplicação Notas. Este problema foi resolvido através da validação melhorada da entrada.
ID CVE
CVE-2015-5875: xisigr da Tencent's Xuanwu LAB (www.tencent.com)
OpenSSH
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: várias vulnerabilidades no OpenSSH
Descrição: existiam várias vulnerabilidades em versões do OpenSSH anteriores à 6.9. Estas vulnerabilidades foram resolvidas através da atualização do OpenSSH para a versão 6.9.
ID CVE
CVE-2014-2532
OpenSSL
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: várias vulnerabilidades no OpenSSL
Descrição: existiam várias vulnerabilidades nas versões do OpenSSL anteriores à 0.9.8zg. Estes problemas foram resolvidos através da atualização do OpenSSL para a versão 0.9.8zg.
ID CVE
CVE-2015-0286
CVE-2015-0287
procmail
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: várias vulnerabilidades no procmail
Descrição: existiam várias vulnerabilidades nas versões do procmail anteriores à 3.22. Estes problemas foram resolvidos com a remoção do procmail.
ID CVE
CVE-2014-3618
remote_cmds
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios de raiz
Descrição: existia um problema na utilização de variáveis de ambiente do binário rsh. Este problema foi resolvido ao retirar os privilégios de setuid do binário rsh.
ID CVE
CVE-2015-5889: Philip Pettersson
removefile
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: o processamento de dados maliciosos poderá provocar o encerramento inesperado da aplicação
Descrição: existia um problema de ultrapassagem do limite máximo nas rotinas de divisão do checkint. Este problema foi resolvido através de uma melhoria nas rotinas de divisão.
ID CVE
CVE-2015-5840: um investigador anónimo
Ruby
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: várias vulnerabilidades no Ruby
Descrição: existiam várias vulnerabilidades nas versões do Ruby anteriores à 2.0.0p645. Estes problemas foram resolvidos através da atualização do Ruby para a versão 2.0.0p645.
ID CVE
CVE-2014-8080
CVE-2014-8090
CVE-2015-1855
Segurança
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: o estado de bloqueio do porta-chaves poderá ser incorretamente apresentado ao utilizador
Descrição: existia um problema de gestão de estado na forma como o estado de bloqueio do porta-chaves era controlado. Este problema foi resolvido através da gestão melhorada do estado.
ID CVE
CVE-2015-5915: Peter Walz da Universidade do Minnesota, David Ephron, Eric E. Lawrence, Apple
Segurança
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: uma avaliação de confiança configurada para exigir a verificação da revogação poderá ser bem-sucedida mesmo que a verificação da revogação falhe
Descrição: o identificador kSecRevocationRequirePositiveResponse era especificado, mas não implementado. Este problema foi resolvido implementando o identificador.
ID CVE
CVE-2015-5894: Hannes Oud da kWallet GmbH
Segurança
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um servidor remoto poderá pedir um certificado antes de se identificar
Descrição: o Secure Transport aceitava a mensagem CertificateRequest antes da mensagem ServerKeyExchange. Este problema foi resolvido exigindo o ServerKeyExchange primeiro.
ID CVE
CVE-2015-5887: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti e Jean Karim Zinzindohoue da INRIA Paris-Rocquencourt e Cedric Fournet e Markulf Kohlweiss da Microsoft Research, Pierre-Yves Strub do IMDEA Software Institute
SMB
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: existia um problema de corrupção de memória no kernel. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-5891: Ilja van Sprundel da IOActive
SMB
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema no SMBClient que levava à divulgação de conteúdos da memória do kernel. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2015-5893: Ilja van Sprundel da IOActive
SQLite
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: várias vulnerabilidades no SQLite v3.8.5
Descrição: existiam várias vulnerabilidades no SQLite v3.8.5. Estes problemas foram resolvidos através da atualização do SQLite para a versão 3.8.10.2.
ID CVE
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
Telefonia
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante local poderá efetuar chamadas telefónicas sem conhecimento do utilizador na utilização do Continuidade
Descrição: existia um problema nas verificações de autorização para efetuar chamadas. Este problema foi resolvido através de verificações de autorização melhoradas.
ID CVE
CVE-2015-3785: Dan Bastone da Gotham Digital Science
Terminal
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: texto criado com intuito malicioso poderá enganar o utilizador no Terminal
Descrição: o Terminal não processava os caracteres de substituição bidirecionais da mesma forma ao mostrar texto e ao selecionar texto. Este problema foi resolvido ao suprimir os caracteres de substituição bidirecionais no Terminal.
ID CVE
CVE-2015-5883: Lukas Schauer (@lukas2511)
tidy
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no tidy. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2015-5522: Fernando Muñoz da NULLGroup.com
CVE-2015-5523: Fernando Muñoz da NULLGroup.com
Time Machine
Disponível para: Mac OS X v10.6.8 e posterior
Impacto: um atacante local poderá obter acesso a elementos do porta-chaves
Descrição: existia um problema nas cópias de segurança efetuadas pela estrutura do Time Machine. Este problema foi resolvido através da melhoria na cobertura de cópias de segurança do Time Machine.
ID CVE
CVE-2015-5854: Jonas Magazinius da Assured AB
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.