Sobre o conteúdo de segurança do OS X Lion v10.7.2 e a Atualização de Segurança 2011-006

Este documento descreve o conteúdo de segurança do OS X Lion v10.7.2 e a Atualização de Segurança 2011-006.

Este documento descreve o conteúdo de segurança do OS X v10.7.2 e da Atualização de segurança 2011-006, que podem ser baixadas e instaladas por meio das preferências da Atualização de Software ou na página Downloads da Apple.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".

OS X Lion v10.7.2 e Atualização de Segurança 2011-006

  • Apache

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: diversas vulnerabilidades no Apache

    Descrição: o Apache foi atualizado para a versão 2.2.20 para solucionar diversas vulnerabilidades, sendo que a mais grave pode levar a uma negação de serviço. CVE-2011-0419 não afeta os sistemas OS X Lion. Obtenha mais informações no site do Apache em http://httpd.apache.org/

    ID de CVE

    CVE-2011-0419

    CVE-2011-3192

  • Firewall do Aplicativo

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: executar um binário com uma nomeação criada com códigos maliciosos pode levar à execução arbitrária de códigos com privilégios elevados

    Descrição: havia uma vulnerabilidade no formato da sequência durante o registro da depuração do Firewall do Aplicativo.

    ID de CVE

    CVE-2011-0185: um relator anônimo

  • ATS

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a visualização ou download de um documento com uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de assinatura durante o processamento de fontes do Tipo 1 pela ATS. Esse problema não afeta sistemas anteriores ao OS X Lion.

    ID de CVE

    CVE-2011-3437

  • ATS

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: a visualização ou download de um documento com uma fonte incorporada criada com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de acesso à memória fora dos limites durante durante o processamento de fontes do Tipo 1 pela ATS. Esse problema não afeta os sistemas OS X Lion.

    ID de CVE

    CVE-2011-0229: Will Dormann, da CERT/CC

  • ATS

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: os aplicativos que usam a API ATSFontDeactivate podem estar vulneráveis a um encerramento inesperado de aplicativo ou à execução arbitrária de códigos

    Descrição: ocorria um estouro de buffer na API ATSFontDeactivate.

    ID de CVE

    CVE-2011-0230: Steven Michaud, do Mozilla

  • BIND

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: diversas vulnerabilidades no BIND 9.7.3

    Descrição: vários problemas de negação de serviço ocorriam no BIND 9.7.3. Esses problemas foram resolvidos atualizando o BIND para a versão 9.7.3-P3.

    ID de CVE

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: diversas vulnerabilidades no BIND

    Descrição: havia problemas de negação de serviço no BIND. Esses problemas foram resolvidos atualizando o BIND para a versão 9.6-ESV-R4-P3.

    ID de CVE

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Política de confiabilidade dos certificados

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1.

    Impacto: os certificados raiz foram atualizados

    Descrição: diversos certificados autenticados foram adicionados à lista de raízes do sistema. Diversos certificados existentes foram atualizados para a versão mais recente. A lista completa de raízes de sistema reconhecidas pode ser vista no aplicativo Acesso às Chaves.

  • CFNetwork

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: o Safari pode armazenar cookies que normalmente não aceitaria

    Descrição: um problema de sincronização ocorria durante o processamento das políticas de cookies da CFNetwork. As preferências de cookies do Safari podem não ser atendidas, permitindo que sites definam cookies que seriam bloqueados se a preferência fosse aplicada. Essa atualização soluciona o problema por meio de melhorias no processamento do armazenamento de cookies.

    ID de CVE

    CVE-2011-0231: Martin Tessarek; Steve Riggins, da Geeks R Us; Justin C. Walker e Stephen Creswell

  • CFNetwork

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: acessar um site criado com códigos maliciosos pode causar a divulgação de informações confidenciais.

    Descrição: um problema ocorria durante o processamento de cookies HTTP pela CFNetwork. Ao acessar um URL HTTP ou HTTPS com códigos maliciosos, a CFNetwork poderia enviar incorretamente os cookies de um domínio para um servidor fora daquele domínio. Esse problema não afeta sistemas anteriores ao OS X Lion.

    ID de CVE

    CVE-2011-3246: Erling Ellingsen, do Facebook

  • CoreFoundation

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: a visualização de um site ou mensagem de e-mail criada com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: um problema de corrupção de memória ocorria durante o processamento da criação de tokens da sequência da CoreFoundation. Esse problema não afeta os sistemas OS X Lion. Essa atualização soluciona o problema por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2011-0259: Apple

  • CoreMedia

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: acessar um site criado com códigos maliciosos pode causar a divulgação de dados de vídeo de outro site

    Descrição: havia um problema entre origens durante o processamento de redirecionamentos entre sites da CoreMedia. Esse problema foi solucionado pelas melhorias no rastreamento de origem.

    ID de CVE

    CVE-2011-0187: Nirankush Panchbhai e Microsoft Vulnerability Research (MSVR)

  • CoreMedia

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: diversos problemas de corrompimento de memória ocorriam no QuickTime durante o processamento de arquivos de filme. Esses problemas não afetam os sistemas OS X Lion.

    ID de CVE

    CVE-2011-0224: Apple

  • CoreProcesses

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: uma pessoa com acesso físico a um sistema pode driblar parcialmente o bloqueio da tela

    Descrição: uma janela do sistema exibida enquanto a tela estava bloqueada, como um pedido de senha VPN, pode aceitar digitação enquanto a tela está bloqueada. Esse problema é solucionado ao evitar que as janelas do sistema solicitem a digitação enquanto a tela estiver bloqueada. Esse problema não afeta sistemas anteriores ao OS X Lion.

    ID de CVE

    CVE-2011-0260: Clint Tseng, da Universidade de Washington, Michael Kobb e Adam Kemp

  • CoreStorage

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a conversão ao FileVault não apaga todos os dados existentes

    Descrição: depois de ativar o FileVault, aproximadamente 250 MB no início do volume eram deixados sem criptografia no disco em uma área não utilizada. Apenas os dados que estavam presentes no volume antes da ativação do FileVault não eram criptografados. Isso foi solucionado apagando essa área ao ativar o FileVault e no primeiro uso de um volume criptografado afetado por esse problema. Esse problema não afeta sistemas anteriores ao OS X Lion.

    ID de CVE

    CVE-2011-3212: Judson Powers, da ATC-NY

  • Sistema de arquivos

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: um invasor com uma posição privilegiada na rede pode manipular os certificados do servidor HTTPS, levando à divulgação de informações confidenciais

    Descrição: havia um problema durante o processamento de volumes WebDAV em servidores HTTPS. Se o servidor apresentasse uma cadeia de certificado que não pudesse ser verificada automaticamente, um aviso era exibido e a conexão era encerrada. Se o usuário clicasse no botão "Continuar" na caixa de diálogo de aviso, qualquer certificado seria aceito na próxima conexão àquele servidor. Um invasor em posição privilegiada na rede pode manipular a conexão para obter informações confidenciais ou agir no servidor em nome do usuário. Essa atualização soluciona o problema garantindo que a segunda conexão tenha o mesmo certificado da apresentada originalmente para o usuário.

    ID de CVE

    CVE-2011-3213: Apple

  • IOGraphics

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: uma pessoa com acesso físico pode ser capaz de driblar o bloqueio da tela

    Descrição: havia um problema com o bloqueio da tela ao usar Apple Cinema Displays. Quando uma senha é exigida para despertar do repouso, uma pessoa com acesso físico pode acessar o sistema sem digitar a senha se o sistema estiver em modo de repouso de tela. Essa atualização soluciona o problema garantindo que o bloqueio da tela esteja ativado corretamente no modo de repouso de tela. Esse problema não afeta os sistemas OS X Lion.

    ID de CVE

    CVE-2011-3214: Apple

  • iChat Server

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: um invasor remoto pode fazer o servidor Jabber consumir recursos do sistema desproporcionalmente

    Descrição: havia um problema no processamento de entidades externas XML no jabberd2, um servidor para o Protocolo de Presença e Mensagem Extensível (XMPP). O jabberd2 expandia as entidades externas em solicitações recebidas. Isso permitia que um invasor consumisse os recursos do sistema rapidamente, negando serviço a usuários legítimos do servidor. Essa atualização soluciona o problema desativando a expansão de entidade em solicitações recebidas.

    ID de CVE

    CVE-2011-1755

  • Kernel

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: uma pessoa com acesso físico pode ser capaz de acessar a senha do usuário

    Descrição: um erro de lógica na proteção do DMA do kernel permitia acesso ao DMA do FireWire na janela de início de sessão, inicialização e desligamento, mas não no bloqueio da tela. Essa atualização soluciona o problema evitando o acesso ao DMA do FireWire em todos os estados em que o usuário não está conectado.

    ID de CVE

    CVE-2011-3215: Passware, Inc.

  • Kernel

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: um usuário sem privilégios pode ser capaz de apagar arquivos de outro usuário em um diretório compartilhado

    Descrição: havia um erro de lógica no processamento de eliminação de arquivos pelo kernel em diretórios com o sticky bit.

    ID de CVE

    CVE-2011-3216: Gordon Davisson, da Crywolf; Linc Davis, R. Dormer, Allan Schmid e Oliver Jeckel, da brainworks Training

  • libsecurity

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a visualização de um site ou mensagem de e-mail criada com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: um problema de processamento ocorria na análise de extensões de uma lista de revogação de certificados fora do padrão.

    ID de CVE

    CVE-2011-3227: Richard Godbee, da Virginia Tech

  • Mailman

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: diversas vulnerabilidades no Mailman 2.1.14

    Descrição: havia vários problemas de script entre sites no Mailman 2.1.14. Esses problemas foram solucionados com a melhoria da codificação de caracteres na saída de HTML. Para obter mais informações, consulte o site do Mailman em http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html Esse problema não afeta os sistemas OS X Lion.

    ID de CVE

    CVE-2011-0707

  • MediaKit

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: a abertura de uma imagem de disco criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia diversos problemas de corrompimento de memória no processamento de imagens de disco. Esses problemas não afetam os sistemas OS X Lion.

    ID de CVE

    CVE-2011-3217: Apple

  • Open Directory

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: qualquer usuário pode ler os dados de senha do usuário local

    Descrição: havia um problema de controle de acesso no Open Directory. Esse problema não afeta sistemas anteriores ao OS X Lion.

    ID de CVE

    CVE-2011-3435: Arek Dreyer, da Dreyer Network Consultants, Inc, e Patrick Dunstan, da defenseindepth.net

  • Open Directory

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: um usuário não autenticado pode alterar a senha da conta sem fornecer a senha atual

    Descrição: havia um problema de controle de acesso no Open Directory. Esse problema não afeta sistemas anteriores ao OS X Lion.

    ID de CVE

    CVE-2011-3436: Patrick Dunstan, da defenceindepth.net

  • Open Directory

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: um usuário pode conseguir iniciar sessão sem usar uma senha

    Descrição: quando o Open Directory está vinculado a um servidor LDAPv3 usando RFC2307 ou mapeamentos personalizados, como não haver atributo AuthenticationAuthority para um usuário, um usuário LDAP pode ter permissão para iniciar sessão sem usar uma senha. Esse problema não afeta sistemas anteriores ao OS X Lion.

    ID de CVE

    CVE-2011-3226: Jeffry Strunk, da Universidade do Texas, em Austin; Steven Eppler, da Universidade Colorado Mesa; e Hugh Cole-Baker e Frederic Metoz, do Institut de Biologie Structurale

  • PHP

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a visualização de um arquivo PDF criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um problema de assinatura durante o processamento de fontes Tipo 1 pelo FreeType. Esse problema foi corrigido pela atualização do FreeType para a versão 2.4.6. Esse problema não afeta os sistemas anteriores ao OS X Lion. Para obter mais informações, consulte o site do FreeType, em /http://www.freetype.org/

    ID de CVE

    CVE-2011-0226

  • PHP

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: diversas vulnerabilidades no libpng 1.4.3

    Descrição: o libpng foi atualizado para a versão 1.5.4 para solucionar diversas vulnerabilidades. A mais grave delas pode causar a execução arbitrária de códigos. Mais informações estão disponíveis no site do libpng, em http://www.libpng.org/pub/png/libpng.html

    ID de CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: diversas vulnerabilidades no PHP 5.3.4

    Descrição: o PHP foi atualizado para a versão 5.3.6 para solucionar diversas vulnerabilidades. A mais séria delas pode causar a execução arbitrária de códigos. Esses problemas não afetam os sistemas OS X Lion. Para obter mais informações, consulte o site do PHP em http://www.php.net/

    ID de CVE

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: diversas vulnerabilidades no Postfix

    Descrição: o Postfix foi atualizado para a versão 2.5.14 para solucionar diversas vulnerabilidades. A mais séria delas pode permitir que um invasor em uma posição privilegiada na rede manipule a sessão do Mail para obter informações confidenciais do tráfego criptografado. Esses problemas não devem afetar os sistemas OS X Lion. Mais informações estão disponíveis no site do Postfix em http://www.postfix.org/announcements/postfix-2.7.3.html

    ID de CVE

    CVE-2011-0411

    CVE-2011-1720

  • python

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: diversas vulnerabilidades no python

    Descrição: havia diversas vulnerabilidades no python. A mais séria delas pode levar à execução arbitrária de códigos. Essa atualização soluciona os problemas aplicando patches do projeto python. Para obter mais informações, consulte o site do python em http://www.python.org/download/releases/

    ID de CVE

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: diversos problemas de corrompimento de memória ocorriam no QuickTime durante o processamento de arquivos de filme.

    ID de CVE

    CVE-2011-3228: Apple

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: um estouro de buffer ocorria durante o processamento de átomos STSC em arquivos de filme do QuickTime. Esse problema não afeta os sistemas OS X Lion.

    ID de CVE

    CVE-2011-0249: Matt 'j00ru' Jurczyk, que trabalha com a Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: um estouro de buffer ocorria durante o processamento de átomos STSS em arquivos de filme do QuickTime. Esse problema não afeta os sistemas OS X Lion.

    ID de CVE

    CVE-2011-0250: Matt 'j00ru' Jurczyk, que trabalha com a Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: um estouro de buffer ocorria durante o processamento de átomos STSZ em arquivos de filme do QuickTime. Esse problema não afeta os sistemas OS X Lion.

    ID de CVE

    CVE-2011-0251: Matt 'j00ru' Jurczyk, que trabalha com a Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: um estouro de buffer ocorria durante o processamento de átomos STTS em arquivos de filme do QuickTime. Esse problema não afeta os sistemas OS X Lion.

    ID de CVE

    CVE-2011-0252: Matt 'j00ru' Jurczyk, que trabalha com a Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: um invasor em posição privilegiada na rede pode injetar um script no domínio local durante a visualização de um modelo HTML

    Descrição: havia um problema de uso de script entre sites na exportação "Salvar para a web" do QuickTime Player. Os arquivos de modelo HTML gerados por esse recurso faziam referência a um arquivo de script de origem não criptografada. Um invasor em posição privilegiada na rede pode injetar scripts maliciosos no domínio local se o usuário visualizar localmente um arquivo de modelo. Esse problema foi solucionado removendo a referência a um script online. Esse problema não afeta os sistemas OS X Lion.

    ID de CVE

    CVE-2011-3218: Aaron Sigel, da vtty.com

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: um estouro de buffer ocorria durante o processamento de arquivos de filme com codificação H.264 pelo QuickTime.

    ID de CVE

    CVE-2011-3219: Damian Put, que trabalha na Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode levar à divulgação de conteúdo da memória

    Descrição: havia um problema de acesso à memória não inicializada do QuickTime durante o processamento dos controles de dados de URL de arquivos de filme.

    ID de CVE

    CVE-2011-3220: Luigi Auriemma, que trabalha na Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de implementação no QuickTime durante o processamento da hierarquia de átomos em um arquivo de filme.

    ID de CVE

    CVE-2011-3221: um pesquisador anônimo que trabalha na Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a visualização de um arquivo FlashPix criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: um estouro de buffer ocorria durante o processamento de arquivos FlashPix pelo QuickTime.

    ID de CVE

    CVE-2011-3222: Damian Put, que trabalha na Zero Day Initiative da TippingPoint

  • QuickTime

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: um estouro de buffer ocorria durante o processamento de arquivos FLIC pelo QuickTime.

    ID de CVE

    CVE-2011-3223: Matt 'j00ru' Jurczyk, que trabalha na Zero Day Initiative da TippingPoint

  • Servidor de arquivos SMB

    Disponível para: OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: um usuário convidado pode navegar por pastas compartilhadas

    Descrição: havia um problema de controle de acesso no Servidor de arquivos SMB. Não permitir o acesso de convidados a um registro de ponto de compartilhamento de uma pasta evita que o usuário '_unknown' navegue pelo ponto de compartilhamento, mas não os convidados (usuário 'nobody'). Esse problema foi solucionado aplicando o controle de acesso ao usuário convidado. Esse problema não afeta sistemas anteriores ao OS X Lion.

    ID de CVE

    CVE-2011-3225

  • Tomcat

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: diversas vulnerabilidades no Tomcat 6.0.24

    Descrição: o Tomcat foi atualizado para a versão 6.0.32 para solucionar diversas vulnerabilidades. A mais grave delas pode levar a um ataque de scripts entre sites. O Tomcat está disponível somente em sistemas Mac OS X Server. Esse problema não afeta os sistemas OS X Lion. Para obter mais informações, consulte o site do Tomcat em http://tomcat.apache.org/

    ID de CVE

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Documentação do usuário

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: um invasor em posição privilegiada na rede pode manipular o conteúdo de ajuda da App Store, levando à execução de código arbitrário

    Descrição: o conteúdo de ajuda da App Store foi atualizado por HTTP. Essa atualização soluciona o problema atualizando o conteúdo de ajuda da App Store por HTTPS. Esse problema não afeta os sistemas OS X Lion.

    ID de CVE

    CVE-2011-3224: Aaron Sigel, do vtty.com e Brian Mastenbrook

  • Servidor web

    Disponível para: Mac OS X Server v10.6.8

    Impacto: os clientes podem não ser capazes de acessar os serviços web que exigem autenticação digest

    Descrição: um problema no processamento da autenticação HTTP Digest foi solucionado. Os usuários podem ter o acesso negado aos recursos do servidor quando a configuração do servidor tiver permitido o acesso. Esse problema não representa um risco de segurança e foi solucionado para facilitar o uso de mecanismos de autenticação mais seguros. Sistemas executando o OS X Lion Server não são afetados por esse problema.

  • X11

    Disponível para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 e v10.7.1, OS X Lion Server v10.7 e v10.7.1

    Impacto: diversas vulnerabilidades no libpng

    Descrição: havia diversas vulnerabilidades no libpng. A mais séria delas pode levar à execução arbitrária de códigos. Esses problemas são resolvidos atualizando o libpng para a versão 1.5.4 nos sistemas OS Lion e 1.2.46 nos sistemas Mac OS X 10.6. Mais informações estão disponíveis no site do libpng, em http://www.libpng.org/pub/png/libpng.html

    ID de CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: