Apple OS X több sérülékenysége

CH azonosító

CH-10631

Angol cím

Apple OS X SSL/TLS Spoofing Vulnerability

Felfedezés dátuma

2014.02.24.

Súlyosság

Magas

Érintett rendszerek

Apple
Mac OS X

Érintett verziók

Apple Macintosh OS X

Összefoglaló

Sérülékenységet jelentettek az Apple OS X-hez.

Leírás

A sérülékenységet kihasználva rosszindulatú, helyi felhasználók megkerülhettek egyes biztonsági korlátozásokat és emelt szintű jogosultságokat szerezhettek, valamint a rosszindulatú támadók érzékeny információkat tulajdoníthattak el, átveréses támadásokat irányíthattak, szolgáltatás megtagadást (DoS) okozhattak, és feltörhették a sérülékeny rendszert.

  • Két biztonsági rés volt az Apache-ban.
  • A beágyazott Type 1 betűtípusok kezelésekor egy hiba jelentkezik ATS-ben, amely kihasználható a memória tartalmának megváltoztatására.
  • Bizonyos képek kezelésekor egy hiba jelentkezik a CoreAnimation-ban, amely kihasználható halom alapú puffer túlcsordulás okozására.
  • Az Unicode betűtípusok kezelésekor előálló előjel hiba CoreText-ben kihasználható memória tartalmának megváltoztatására.
  • Hiba keletkezhet az cURL-ben, amikor tanúsítványkezelés során felépül a HTTPS kapcsolat egy IP címet tartalmazó URL esetén, amely kihasználható pl. közbeékelődéses (MITM) támadások irányítására.
  • Egy hiba jelenik meg a Secure Transport-ban, amikor egy SSL / TLS kapcsolat hitelessítését megerősítjük.
  • A systemsetupparancshoz kapcsolódó hiba kihasználható a rendszeridő manipulálására
  • A File Bookmark-ban lévő hiba fájlnevek kezelésekor kihasználható puffer túlcsordulás okozására túl hosszú állománynevekkel
  • A Finder-ben lévő ACL-ek elérésekor az ACL-ek kihasználhatóak az ACL-ek elrontására. 
  • Egy hiba van az ImageIO-ban.
  • Egy hiba az IOSerialFamily illesztőprogramban kihasználható egy tömb határon kívüli hozzáférésre
  • Két hiba van a NVidia Drivers-ben.
  • Több hiba van a PHP-ben.
  • Egy hiba a QuickLook-ban Microsoft Office fájlok kezelésekorkihasználható amemória tartalmának megváltoztatására
  • Hhiba van a QuickLook-ban Microsoft Word fájlok kezelésekor, amely kihasználható amemória tartalmának megváltoztatására.
  • TöbbhibavanQuickTime-ban.
  • Tervezési hibavana Secure Transport-ban.
A sérülékenységet a 10.9.1. verzióban jelentették, más verziók is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2023-41347 – ASUS RT-AX55 sérülékenysége
CVE-2023-41346 – ASUS RT-AX55 sérülékenysége
CVE-2023-41345 – ASUS RT-AX55 sérülékenysége
CVE-2023-39780 – ASUS RT-AX55 Routers OS Command Injection sérülékenysége
CVE-2025-35939 – Craft CMS External Control of Assumed-Immutable Web Parameter sérülékenysége
CVE-2025-3935 – ConnectWise ScreenConnect Improper Authentication sérülékenysége
CVE-2021-32030 – ASUS Routers Improper Authentication sérülékenysége
CVE-2025-33072 – Microsoft msagsfeedback.azurewebsites.net Information Disclosure sebezhetősége
CVE-2025-30377 – Microsoft Office Remote Code Execution sebezhetősége
Tovább a sérülékenységekhez »