Összefoglaló
Sérülékenységet jelentettek az Apple OS X-hez.
Leírás
A sérülékenységet kihasználva rosszindulatú, helyi felhasználók megkerülhettek egyes biztonsági korlátozásokat és emelt szintű jogosultságokat szerezhettek, valamint a rosszindulatú támadók érzékeny információkat tulajdoníthattak el, átveréses támadásokat irányíthattak, szolgáltatás megtagadást (DoS) okozhattak, és feltörhették a sérülékeny rendszert.
- Két biztonsági rés volt az Apache-ban.
- A beágyazott Type 1 betűtípusok kezelésekor egy hiba jelentkezik ATS-ben, amely kihasználható a memória tartalmának megváltoztatására.
- Bizonyos képek kezelésekor egy hiba jelentkezik a CoreAnimation-ban, amely kihasználható halom alapú puffer túlcsordulás okozására.
- Az Unicode betűtípusok kezelésekor előálló előjel hiba CoreText-ben kihasználható a memória tartalmának megváltoztatására.
- Hiba keletkezhet az cURL-ben, amikor tanúsítványkezelés során felépül a HTTPS kapcsolat egy IP címet tartalmazó URL esetén, amely kihasználható pl. közbeékelődéses (MITM) támadások irányítására.
- Egy hiba jelenik meg a Secure Transport-ban, amikor egy SSL / TLS kapcsolat hitelessítését megerősítjük.
- A “systemsetup” parancshoz kapcsolódó hiba kihasználható a rendszeridő manipulálására.
- A File Bookmark-ban lévő hiba fájlnevek kezelésekor kihasználható puffer túlcsordulás okozására túl hosszú állománynevekkel.
- A Finder-ben lévő ACL-ek elérésekor az ACL-ek kihasználhatóak az ACL-ek elrontására.
- Egy hiba van az ImageIO-ban.
- Egy hiba az IOSerialFamily illesztőprogramban kihasználható egy tömb határon kívüli hozzáférésre.
- Két hiba van a NVidia Drivers-ben.
- Több hiba van a PHP-ben.
- Egy hiba a QuickLook-ban Microsoft Office fájlok kezelésekorkihasználható amemória tartalmának megváltoztatására.
- Hhiba van a QuickLook-ban Microsoft Word fájlok kezelésekor, amely kihasználható amemória tartalmának megváltoztatására.
- TöbbhibavanQuickTime-ban.
- Tervezési hibavana Secure Transport-ban.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Other (Egyéb)
Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2013-1862 - NVD CVE-2013-1862
CVE-2013-1896 - NVD CVE-2013-1896
CVE-2013-4113 - NVD CVE-2013-4113
CVE-2013-4248 - NVD CVE-2013-4248
CVE-2013-5139 - NVD CVE-2013-5139
CVE-2013-6420 - NVD CVE-2013-6420
CVE-2013-6629 - NVD CVE-2013-6629
CVE-2014-1245 - NVD CVE-2014-1245
CVE-2014-1246 - NVD CVE-2014-1246
CVE-2014-1247 - NVD CVE-2014-1247
CVE-2014-1248 - NVD CVE-2014-1248
CVE-2014-1249 - NVD CVE-2014-1249
CVE-2014-1250 - NVD CVE-2014-1250
CVE-2014-1252 - NVD CVE-2014-1252
CVE-2014-1254 - NVD CVE-2014-1254
CVE-2014-1258 - NVD CVE-2014-1258
CVE-2014-1259 - NVD CVE-2014-1259
CVE-2014-1260 - NVD CVE-2014-1260
CVE-2014-1263 - NVD CVE-2014-1263
CVE-2014-1264 - NVD CVE-2014-1264
CVE-2014-1265 - NVD CVE-2014-1265
CVE-2014-1266 - NVD CVE-2014-1266
Gyártói referencia: lists.apple.com
Gyártói referencia: support.apple.com