Összefoglaló
Az Apple Mac OS X két sérülékenységét azonosították, melyet a támadók kiaknázhatnak tetszőleges kód futtatására, a szolgáltatás megtagadás feltételeinek megteremtésére, cross-site scripting támadások lefolytatására, vagy a Safari web böngésző címsorának megváltoztatására.
Leírás
Az Apple kiadta a Mac OS X biztonsági frissítését, amely javít két sérülékenységet.
- Egy érvénytelen típus konverzió a Webkitben, keretek megjelenítésekor, kiaknázható a memória tartalom megváltoztatására, és lehetővé teszi tetszőleges kód futtatását, mialatt a felhasználó meglátogat egy káros web oldalt.
- Egy bemenet érvényesítési hiba a Webcore “XMLHttpRequest” objektumának átadott fejlécek feldolgozásakor kiaknázható tetszőleges HTTP kérések befecskendezésére.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Deny of service (Szolgáltatás megtagadás)Input manipulation (Bemenet módosítás)
Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
US-CERT 845708
Egyéb referencia: www.vupen.com
SECUNIA 25786
US-CERT 389868
Gyártói referencia: www.apple.com
Gyártói referencia: www.apple.com
Gyártói referencia: www.apple.com
Gyártói referencia: docs.info.apple.com
CVE-2007-2399 - NVD CVE-2007-2399
CVE-2007-2401 - NVD CVE-2007-2401
Egyéb referencia: www.westpoint.ltd.uk