Apple Mac OS X sérülékenységek

CH azonosító

CH-9351

Angol cím

Apple Mac OS X Multiple Vulnerabilities

Felfedezés dátuma

2013.06.04.

Súlyosság

Magas

Érintett rendszerek

Apple
Mac OS X

Érintett verziók

Apple Macintosh OS X

Összefoglaló

Az Apple Mac OS X több sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, megkerülhetnek egyes biztonsági szabályokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, vagy feltörhetik a sérülékeny rendszert.

Leírás

  1. A CFNetwork komponens egy hibáját kihasználva, amely az állandó sütik (permanent cookies) kezelése során keletkezik, hozzá lehet férni egy korábban használt weboldalhoz még akkor is, ha a Private Browsing engedélyezve volt.
  2. A CoreAnimation komponens egy határhibáját kihasználva, amely a text glyphs objektumok kezelése során keletkezik, verem alapú puffer túlcsordulást lehet előidézni, ha a felhasználó egy speciálisan összeállított hivatkozást nyit meg a Safari-ban.
  3. A CoreMedia Playback komponens egy hibáját kihasználva, amely a szöveg sávok kezelése során keletkezik, egy inicializálatlan memória területre lehet hivatkozni egy speciálisan összeállított movie fájl segítségével.
  4. A Directory Service komponens egy hibáját kihasználva, amely a hálózatból érkező üzenetek kezelése során keletkezik, speciálisan megszerkesztett üzenetek küldésével lehet kihasználni.
  5. A Disk Management komponens egy hibáját kihasználva, amely a jogosultságok nem megfelelő ellenőrzése miatt következik be, a helyi felhasználók ki tudják kapcsolni a FileVault-ot.
  6. Az OpenSSL több hibáját jelentették, amelyekről az alábbi hivatkozásokon található bővebb információ:
    CERT-Hungary CH-5504
    CERT-Hungary CH-6188
    CERT-Hungary CH-6271
    CERT-Hungary CH-6746
    CERT-Hungary CH-6836
    Egy sérülékenységet az Elliptic Curve Digital Signature Algorithm (ECDSA) implementáció hibája okoz, amely nem előzi meg a timing támadásokat, és amit kihasználva meg lehet szerezni az ECDSA szignatúrát használó TLS szerver privát kulcsát.
  7. A QuickDraw Manager komponens egy hibáját kihasználva, amely a PCT képek feldolgozása során keletkezik, puffer túlcsordulást lehet előidézni.
  8. A QuickTime több sérülékenységét jelentették, amelyekről az alábbi hivatkozáson található bővebb információ:
    CERT-Hungary CH-9245
  9. A Ruby on Rails több sérülékenységét jelentették, amelyekről az alábbi hivatkozásokon található bővebb információ:
    CERT-Hungary CH-8216
    CERT-Hungary CH-8446
    CERT-Hungary CH-8342
    CERT-Hungary CH-8742
  10. Az SMB egy hibája miatt nincs megfelelően ellenőrizve a hozzáférés vezérlés, amit kihasználva fájlokat lehet írni a megosztott könyvtáron kívül.

A 2., 3., 4. és 7. sérülékenység sikeres kihasználása tetszőleges kód végrehajtását teszi lehetővé.

A sérülékenységeket a Snow Leopard (10.6), Lion (10.7) és Mountain Lion (10.8) verziókban jelentették.

Megoldás

Telepítse a javítócsomagokat