Download grátis do Servidor de atualização de segurança da Apple , download do Servidor de atualização de segurança da Apple no download do software

Melhora o nível de segurança dos servidores Mac OS X. A atualização de segurança 2009-006 é recomendada para todos os usuários e melhora a segurança do Mac OS X. Atualizações de segurança anteriores foram incorporadas a esta atualização de segurança. Certifique-se de ter as últimas atualizações de segurança e melhorias do sistema no seu Mac. O que há de novo nesta versão: Cliente AFP: · Impacto: Acessar um servidor AFP malicioso pode levar a uma rescisão inesperada do sistema ou execução de código arbitrário com privilégios do sistema · Descrição: Existem vários problemas de corrupção de memória no cliente AFP. Conectando-se a um servidor AFP malicioso pode causar uma rescisão inesperada do sistema ou execução de código arbitrário com privilégios do sistema. Esta atualização aborda os problemas através da verificação de limites melhorados. Esses problemas não afetam os sistemas Mac OS X V10.6. Crédito: Apple. Firewall adaptativo: · Impacto: uma força bruta ou ataque de dicionário para adivinhar uma senha de login SSH pode não ser detectada pelo firewall adaptativo · Descrição: O firewall adaptativo responde a atividade suspeita, como um volume incomum de tentativas de acesso, criando uma regra temporária para restringir o acesso. Em certas circunstâncias, o firewall adaptativo não pode detectar tentativas de login do SSH usando nomes de usuário inválidos. Esta atualização aborda o problema através da detecção aprimorada de tentativas de login SSH inválidas. Esse problema afeta apenas os sistemas do Mac OS X Server. Crédito: Apple. Apache: · Impacto: várias vulnerabilidades no Apache 2.2.11 · Descrição: O Apache é atualizado para a versão 2.2.13 para resolver várias vulnerabilidades, a mais séria pode levar à escalada do privilégio. Mais informações estão disponíveis através do site Apache em http://httpd.apache.org/ · Impacto: Um invasor remoto pode realizar ataques de scripts transversais contra o Apache Web Server · Descrição: O servidor Web Apache permite o método HTTP de rastreamento. Um invasor remoto pode usar este recurso para realizar ataques de scripts transversais por meio de determinado software Web Client. Esse problema é abordado atualizando a configuração para desativar o suporte para o método Trace. Apache o tempo de execução portátil: · Impacto: Aplicativos usando o Apache Portable Runtime (APR) podem ser explorados para execução de código · Descrição: vários transbordamentos inteiros no Apache Portable Runtime (APR) podem levar a uma terminação inesperada de aplicativos ou execução de código arbitrário. Esses problemas são abordados atualizando os sistemas de tempo de execução do Apache Portable Portable para a versão 1.3.8 no Mac OS X V10.6 e aplicando os Sistemas de Runtime Portáteis do Apache no Mac OS X V10.5.8. Sistemas que executam o Mac OS X V10.6 são afetados apenas por CVE-2009-2412. Mais informações estão disponíveis através do site do Apache Portable Runtime em http://apr.apache.org/ ATS: · Impacto: Visualizar ou baixar um documento contendo uma fonte incorporada enganosa pode levar à execução de código arbitrário · Descrição: Existem vários arbustos de buffer existem no manuseio de fontes incorporadas da Apple Type. Visualizando ou baixando um documento contendo uma fonte incorporada maliciosamente criada pode levar a execução de código arbitrário. Esta atualização aborda os problemas através da verificação de limites melhorados. Esses problemas não afetam os sistemas Mac OS X V10.6. Crédito: Apple. Assistente de certificado: · Impacto: Um usuário pode ser enganado para aceitar um certificado para um domínio diferente · Descrição: existe um problema de implementação no manuseio de certificados SSL que possuem caracteres NUL no campo Nome comum. Um usuário poderia ser enganado para aceitar um certificado criado-articulado que aparece visualmente para corresponder ao domínio visitado pelo usuário. Esse problema é mitigado como o Mac OS X não considera que esse certificado seja válido para qualquer domínio. Esta atualização aborda o problema através do manuseio aprimorado de certificados SSL. CoreGraphics: · Impacto: Abrir um arquivo PDF criado maliciosamente pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário · Descrição: vários inteiros transbordamentos na manipulação de arquivos do PDF CoreGraphics podem resultar em um estouro do buffer de heap. Abrir um arquivo PDF criado maliciosamente pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda os problemas através da verificação de limites melhorados. Esses problemas não afetam os sistemas Mac OS X V10.6. Crédito: Apple. COREMEDIA: · Impacto: Visualizar um filme H.264 criado por maliciosos pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário · Descrição: Um problema de corrupção de memória existe no manuseio de arquivos de filme H.264. Visualizando um arquivo de filme H.264 maliciosamente crafted pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda o problema através da verificação aprimorada dos limites. Esse problema não afeta os sistemas antes do Mac OS X V10.6. Crédito para Tom Ferris da equipe da Adobe Secure Software Engineering para relatar esse problema. · Impacto: Visualizar um filme H.264 criado por maliciosos pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário · Descrição: Um estouro do buffer heap existe no manuseio de arquivos de filme H.264. Visualizando um arquivo de filme H.264 maliciosamente crafted pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda o problema através da verificação aprimorada dos limites. Esse problema não afeta os sistemas antes do Mac OS X V10.6. Crédito para um pesquisador anônimo trabalhando com o TippingPoint e a iniciativa do dia zero para relatar esse problema. Copas: · Impacto: Acessando um site ou URL criado maliciosamente pode levar a um ataque de script ou resposta de resposta HTTP · Descrição: Um problema em copos pode levar a scripts entre os locais e a resposta à resposta HTTP. Acessar uma página da Web ou URL criada maliciosamente pode permitir que um invasor acesse conteúdo disponível ao usuário atual atual pela interface da Web. Isso pode incluir a configuração do sistema de impressão e os títulos de trabalhos que foram impressos. Esse problema é abordado por meio de manipulação aprimorada de cabeçalhos HTTP e modelos HTML. Crédito: Apple. Dicionário: · Impacto: Um usuário na rede local pode ser capaz de causar execução de código arbitrário · Descrição: Uma questão de design no dicionário permite que o JavaScript maliciosamente criado escreva dados arbitrários para locais arbitros no sistema de arquivos do usuário. Isso pode permitir que outro usuário na rede local execute o código arbitrário no sistema do usuário. Esta atualização aborda o problema removendo o código vulnerável. Esse problema não afeta os sistemas Mac OS X V10.6. Crédito: Apple. DirectoryService: · Impacto: Um invasor remoto pode causar uma rescisão inesperada de aplicativos ou execução de código arbitrário · Descrição: existe uma questão de corrupção de memória no directorerService. Isso pode permitir que um atacante remoto cause uma rescisão inesperada de aplicativos ou a execução arbitrária de código. Esta atualização afeta apenas os sistemas configurados como servidores de diretórioservice. Esta atualização aborda o problema através do melhor tratamento da memória. Esse problema não afeta os sistemas Mac OS X V10.6. Crédito: Apple. Imagens do disco: · Impacto: O download de uma imagem de disco criada maliciosamente pode levar a uma terminação inesperada de aplicativos ou execução de código arbitrário · Descrição: Um estouro do buffer de heap existe no manuseio de imagens de disco contendo sistemas de arquivos de gordura. O download de uma imagem de disco criada por maliciosos pode levar a uma terminação inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda o problema através da verificação aprimorada dos limites. Esse problema não afeta os sistemas Mac OS X V10.6. Crédito: Apple. DOVECOT: · Impacto: Um usuário local pode causar uma rescisão inesperada do aplicativo ou execução de código arbitrário com privilégio do sistema · Descrição: Existem vários transbordamentos de buffer na peneira do Dovecot. Ao implementar um script de peneira do Dovecot-Crafted, um usuário local pode causar uma terminação inesperada de aplicativos ou execução de código arbitrário com privilégios do sistema. Esta atualização aborda o problema executando validação adicional de scripts de peneira do Dovecot. Esse problema afeta apenas os sistemas do Mac OS X Server. Esse problema não afeta os sistemas antes do Mac OS X V10.6. Monitor de eventos: · Impacto: um invasor remoto pode causar injeção de log · Descrição: existe um problema de injeção de log no monitor de eventos. Ao conectar-se ao servidor SSH com informações de autenticação maliciosamente criadas, um invasor remoto pode causar injeção de log. Isso pode levar a uma negação de serviço, pois os dados de log são processados por outros serviços. Esta atualização aborda o problema através de melhorar o escapamento da saída XML. Esse problema afeta apenas os sistemas do Mac OS X Server. Esse problema não afeta os sistemas Mac OS X V10.6. Crédito: Apple. Fetchmail: · Impacto: o fetchmail é atualizado para 6.3.11 · Descrição: a Fetchmail foi atualizada para 6.3.11 para resolver uma questão man-in-the-intermediária. Mais informações estão disponíveis através do site da Fetchmail em http://fetchmail.berlios.de/ Arquivo: · Impacto: Executando o comando do arquivo em um arquivo comum de documento comum maliciosamente (CDF) pode levar a uma terminação inesperada de aplicativos ou execução de código arbitrário · Descrição: Existem várias vulnerabilidades do buffer de buffer na ferramenta linha de comando de arquivo. Executar o comando de arquivo em um arquivo de formato de documento comum com base maliciosamente (CDF) pode levar a uma terminação inesperada de aplicativos ou execução de código arbitrário. Esses problemas são endereçados atualizando o arquivo para a versão 5.03. Esses problemas não afetam os sistemas antes do Mac OS X V10.6. Servidor FTP: · Impacto: Um invasor com acesso ao FTP e a capacidade de criar diretórios em um sistema pode causar terminação inesperada de aplicativos ou execução de código arbitrário · Descrição: Um estouro do buffer existe na ferramenta de linha de comando CWD do servidor FTP. Emitir o comando CWD em uma hierarquia de diretório profundamente aninhada pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda o problema através da verificação aprimorada dos limites. Esse problema afeta apenas os sistemas do Mac OS X Server. Crédito: Apple. Ajuda Viewer: · Impacto: O uso do visualizador de ajuda em uma rede não confiável pode resultar em execução de código arbitrário · Descrição: o visualizador de ajuda não usa HTTPS para visualizar o conteúdo da Ajuda da Apple remota. Um usuário na rede local pode enviar respostas HTTP falsificadas contendo ajuda maliciosa: links de execução. Esta atualização aborda o problema usando HTTPS ao solicitar conteúdo de ajuda da Apple remota. Crédito para Brian Mastenbrook para relatar esse problema. Imageio: · Impacto: Visualizar uma imagem TIFF criada maliciosamente pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário · Descrição: Um underflow do buffer existe no manuseio de imagens do Imageio. A visualização de uma imagem tiff criada maliciosamente pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda o problema através da verificação aprimorada dos limites. Componentes internacionais para Unicode: · Impacto: Aplicativos que usam a API da UCComparetextDeulult podem ser vulneráveis a uma rescisão inesperada de aplicativos ou execução de código arbitrário · Descrição: Um estouro do buffer existe na API da UCComparetextDefault, que pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda o problema através do melhor desempenho da memória. Esse problema não afeta os sistemas Mac OS X V10.6. Crédito para Nikita Zhuk e Petteri Kamppuri de MKC para relatar essa questão. IOKIT: · Impacto: Um usuário não privilegiado pode ser capaz de modificar o firmware do teclado · Descrição: Um usuário não privilegiado pode alterar o firmware em um teclado da Apple USB ou Bluetooth conectado. Esta atualização aborda o problema, exigindo que os privilégios do sistema enviem firmware para teclados da Apple USB ou Bluetooth. Crédito para K. Chen do Instituto de Tecnologia da Geórgia para relatar essa questão. Ipsec: · Impacto: várias vulnerabilidades no daemon do guaxinim podem levar a uma negação de serviço · Descrição: Várias vulnerabilidades nas ferramentas IPsec do Daemon Rago antes de 0,7.2 podem levar a uma negação de serviço. Esta atualização aborda os problemas aplicando patches do projeto IPsec-Tools. Mais informações estão disponíveis através do site IPsec-Tools em Núcleo: · Impacto: Um usuário local pode causar a divulgação de informações, um desligamento do sistema inesperado ou a execução de código arbitrário · Descrição: Vários problemas de validação de entrada existem no manuseio de segmentos do Estado da Tarefa do Kernel. Isso pode permitir que um usuário local cause a divulgação de informações, um desligamento inesperado do sistema ou a execução de código arbitrário. Esta atualização aborda os problemas por meio de validação melhorada de entrada. Crédito para Regis Duchesne do VMware, Inc. para relatar esse problema. Serviços de lançamento: · Impacto: A tentativa de abrir conteúdo baixado inseguro pode não levar a um aviso · Descrição: Quando os serviços de inicialização são chamados para abrir uma pasta em quarentena, ela reduzirá recursivamente informações de quarentena de todos os arquivos contidos na pasta. As informações de quarentena que são compensadas são usadas desencadeiam um aviso de usuário antes de abrir o item. Isso permitiria ao usuário lançar um item potencialmente inseguro, como um aplicativo, sem ser apresentado com o diálogo de aviso apropriado. Esta atualização aborda o problema por não limpar esta informação de quarentena a partir do conteúdo da pasta. Esse problema não afeta os sistemas antes do Mac OS X V10.6. Crédito: Apple. libsecurity: · Impacto: Suporte para certificados X.509 com hashes MD2 pode expor os usuários a falsificação e divulgação de informações, pois os ataques melhoram · Descrição: Há fraquezas criptográficas conhecidas no algoritmo MD2 Hash. Outras pesquisas podem permitir a criação de certificados X.509 com valores controlados contra atacantes que são confiáveis pelo sistema. Isso poderia expor os protocolos baseados em X.509 a falsificação, homem nos ataques médios e divulgação de informações. Embora ainda não seja considerado computacionalmente viável para montar um ataque usando essas fraquezas, essa atualização desativa o suporte para um certificado X.509 com um hash MD2 para qualquer uso que não seja como certificado de raiz confiável. Esta é uma mudança proativa para proteger os usuários antes dos ataques melhorados contra o algoritmo MD2 Hash. Crédito para Dan Kaminsky da pesquisa de vulnerabilidade IOactive e Microsoft (MSVR) para relatar esse problema. libxml: · Impacto: A análise de conteúdo XML criado por maliciosos pode levar a uma rescisão inesperada de aplicativos · Descrição: Múltiplos problemas de uso After-free existem em libxml2, o mais sério pode levar a uma rescisão de aplicativos unxexpected. Esta atualização aborda os problemas por meio de manipulação de memória melhorada. Crédito para Rauli Kaksonen e Jukka Taimisto do projeto Cruz no Codenomicon Ltd. para relatar essas questões. Janela de login: · Impacto: Um usuário pode efetuar login em qualquer conta sem fornecer uma senha · Descrição: Uma condição de corrida existe na janela de login. Se uma conta no sistema não tiver senha, como a conta de convidado, um usuário poderá efetuar login em qualquer conta sem fornecer uma senha. Esta atualização aborda o problema através de verificações de acesso aprimoradas. Esse problema não afeta os sistemas antes do Mac OS X V.10.6. OpenLDAP: · Impacto: Um invasor man-in-the-meio pode ser capaz de representar um servidor ou usuário do OpenLDAP confiável, mesmo quando o SSL está sendo usado · Descrição: Um problema de implementação existe no manuseio do OpenLDAP de certificados SSL que possuem caracteres NUL no campo Nome comum. Usando um certificado SSL criado maliciosamente, um invasor pode ser capaz de realizar um ataque man-in-the-intermediário em transações OpenLDAP que usam SSL. Esta atualização aborda o problema através do manuseio aprimorado de certificados SSL. · Impacto: várias vulnerabilidades no OpenLDAP · Descrição: Existem várias vulnerabilidades no OpenLDAP, a mais séria pode levar uma negação de serviço ou execução de código arbitrário. Esta atualização aborda os problemas aplicando os patches do OpenLDAP para os IDs de CVE referenciados. Mais informações estão disponíveis através do site OpenLDAP em http://www.openldap.org/. Esses problemas não afetam os sistemas Mac OS X V10.6. Openssh: · Impacto: os dados em uma sessão OpenSSH podem ser divulgados · Descrição: Um problema de manipulação de erros existe no OpenSSH, o que pode levar à divulgação de determinados dados em uma sessão SSH. Esta atualização aborda o problema atualizando o openssh para a versão 5.2P1. Mais informações estão disponíveis através do site OpenSSH em http://www.openssh.com/txt/release-5.2 Esse problema não afeta os sistemas Mac OS X V10.6. PHP: · Impacto: várias vulnerabilidades no PHP 5.2.10 · Descrição: PHP é atualizado para a versão 5.2.11 para atender a várias vulnerabilidades, a mais séria pode levar a execução de código arbitrário. Mais informações estão disponíveis através do site do PHP em http://www.php.net/ Esses problemas não afetam os sistemas Mac OS X V10.6. Gerente QuickDraw: · Impacto: Abrir uma imagem picada maliciosamente criada pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário · Descrição: Um estouro do buffer heap existe no manuseio da QuickDraw de imagens pict. Abrir uma imagem pict crafted maliciosamente pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda o problema executando validação adicional de imagens pet. Crédito para Nicolas Joly da equipe de pesquisa de vulnerabilidade VUUPEN para relatar esse problema. Uma olhadela: · Impacto: O download de um arquivo do Microsoft Office criado maliciosamente pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário · Descrição: Um estouro inteiro no manejo do Quicklook de arquivos do Microsoft Office pode levar a um estouro de buffer. O download de um arquivo do Microsoft Office criado por maliciosos pode levar a uma terminação inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda o problema através da verificação aprimorada dos limites. Esse problema não afeta os sistemas Mac OS X V10.6. Crédito: Apple. Tempo rápido: · Impacto: Visualizar um filme H.264 criado por maliciosos pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário · Descrição: Um problema de corrupção de memória existe no manuseio de arquivos de filme H.264. Visualizando um arquivo de filme H.264 maliciosamente crafted pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda o problema através da verificação aprimorada dos limites. Esse problema já é endereçado no QuickTime 7.6.4 para o Mac OS X V10.5.8 e o Windows. Crédito para Tom Ferris da equipe da Adobe Secure Software Engineering para relatar esse problema. · Impacto: Visualizar um filme H.264 criado por maliciosos pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário · Descrição: Um estouro do buffer heap existe no manuseio de arquivos de filme H.264. Visualizando um arquivo de filme H.264 maliciosamente crafted pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda o problema através da verificação aprimorada dos limites. Esse problema já é endereçado no QuickTime 7.6.4 para o Mac OS X V10.5.8 e o Windows. Crédito para um pesquisador anônimo trabalhando com o TippingPoint e a iniciativa do dia zero para relatar esse problema. · Impacto: Abrir um arquivo de vídeo MPEG-4 maliciosamente crafted pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário · Descrição: Um estouro do buffer existe no manejo do QuickTime de arquivos de vídeo MPEG-4. Abrir um arquivo de vídeo MPEG-4 maliciosamente crafted pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda o problema através da verificação aprimorada dos limites. Esse problema já é endereçado no QuickTime 7.6.4 para o Mac OS X V10.5.8 e o Windows. Crédito para Alex Selivanov por relatar esse problema. · Impacto: visualizar um arquivo flashpix criado maliciosamente pode levar a uma terminação inesperada de aplicativos ou execução de código arbitrário · Descrição: Um estouro do buffer de heap existe no manuseio do QuickTime de arquivos FlashPix. Visualizar um arquivo flashpix maliciosamente criado pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda o problema através da verificação aprimorada dos limites. Esse problema já é endereçado no QuickTime 7.6.4 para o Mac OS X V10.5.8 e o Windows. Crédito para Damian colocou trabalhando com o TippingPoint e a iniciativa do dia zero para relatar esse problema. Freeradius: · Impacto: Um atacante remoto pode rescindir a operação do serviço RADIUS · Descrição: existe um problema em Freeradius no manuseio de mensagens de solicitação de acesso. Um atacante remoto pode fazer com que o serviço RADIUS termine enviando uma mensagem de solicitação de acesso contendo um atributo de senha de túnel com um valor de atributo de tamanho zero. Após qualquer rescisão inesperada, o serviço RADIUS será automaticamente reiniciado. Esta atualização aborda o problema através de uma validação aprimorada de atributos de comprimento zero. Esse problema não afeta os sistemas Mac OS X V10.6. Compartilhamento de tela: · Impacto: Acessar um servidor VNC malicioso pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário · Descrição: Existem vários problemas de corrupção de memória no cliente de compartilhamento de tela. Acessando um servidor VNC malicioso, como abrir um VNC: // URL, pode causar uma rescisão inesperada do aplicativo ou execução de código arbitrário. Esta atualização aborda os problemas por meio de manipulação de memória melhorada. Esse problema não afeta os sistemas Mac OS X V10.6. Crédito: Apple. Holofote: · Impacto: Um usuário local pode manipular arquivos com os privilégios de outro usuário · Descrição: Uma operação de arquivo inseguro existe no manuseio de arquivos temporários do Spotlight. Isso pode permitir que um usuário local substitua os arquivos com os privilégios de outro usuário. Esta atualização aborda o problema através do manuseio aprimorado de arquivos temporários. Esse problema não afeta os sistemas Mac OS X V10.6. Crédito: Apple. Subversão: · Impacto: Acessar um repositório do Subversion pode levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário · Descrição: vários transbordamentos do buffer de heap no Subversion podem levar a uma rescisão inesperada de aplicativos ou execução de código arbitrário. Esta atualização aborda os problemas atualizando o Subversion para a versão 1.6.5 para sistemas Mac OS X V10.6 e aplicando os patches do Subversion para sistemas Mac OS X V10.5.8. Mais informações estão disponíveis através do site do Subversion em http://subversion.tigris.org/

Servidor de atualização de segurança da Apple Software Relacionado