Összefoglaló
Az Apple biztonsági frissítést adott ki a Mac OS X-hez, amely több sérülékenységet javít.
Leírás
Az Apple biztonsági frissítést adott ki a Mac OS X-hez, amely több sérülékenységet javít.
- Egy nem részletezett hibát az Alias Managerben memória hivatkozási hiba előidézésére, és potenciálisan tetszőleges kód futtatására lehet használni, az AFP kötetek mountolási információinak kezelése közbeni hibája miatt.
- Egy hiányosság, hogy a rendszer nem figyelmezteti a felhasználót, mielőtt az megnyitna néhány potenciálisan veszélyes tartalmat (pl.: .xht és .xhtm file).
- Egy format string kezelési hiba lehetővé teszi, hogy tetszőleges kódot lehessen lefuttatni a rendszeren, ha speciálisan kialakított stringet küldenek a c++filt-nek.
- A Dock egy sérülékenységet kihasználva, rosszindulatú, helyi támadó, fizikai hozzáféréssel meg tudja kerülni a képernyőzárolást, amennyiben az Exposé hot corners be van állítva.
-
Verseny helyzet alakulhat ki a Launch Servicesben, a letöltött szimbolikus linkek ellenőrzésekor. Ezt kihasználva, tetszőleges kódot lehet lefuttatni, ha a felhasználó egy rosszindulatú weboldalt látogat meg.
A hiba sikeres kihasználásához szükséges, hogy az “Open ‘safe’ files” opció engedélyezve legyen a Safariban. -
Egy sérülékenység a Net-SMNMP-ben lehetővé teszi, hogy rosszindulatú támadók hitelesített SNMPv3 csomagokat hamisítsanak.
További információk:
Secunia Advisory SA30574 -
A Ruby meglévő hibáit kihasználva rosszindulatú támadók érzékeny információkhoz juthatnak hozzá, szolgáltatás megtagadást okozhatnak, esetleg feltörhetik a sérülékeny rendszert.
További információk:
Secunia Advisory SA29232
Secunia Advisory SA29794Megjegyzés: a könyvtár betekintéses probléma nem érinti a MAC OS X-et.
-
Az SMB fileszerver egy hibáját kihasználva, rosszindulatú támadók föltörhetik a sérülékeny rendszert.
További információk:
Secunia Advisory SA30228 - Lehetőség van arra, hogy rosszindulatú file-ok kerüljenek a User Template könyvtárba. Ezt kihasználva tetszőleges kódot lehet lefuttatni egy új felhasználó létrehozásakor, a neki megfelelő jogosultságokkal, ha a a Home könyvtárát a User Template könyvtár segítségével hozzák létre.
-
A Tomcat néhány sérülékenységét kihasználva, rosszindulatú felhasználók érzékeny információkat szerezhetnek meg, és rosszindulatú támadók érzékeny információkat szerezhetnek meg, valamint cross-site scripting támadást indíthatnak.
További információk:
Secunia Advisory SA25678
Secunia Advisory SA26466
Secunia Advisory SA27398
Secunia Advisory SA28878 -
A WebKit egy sérülékenységet kihasználva, rosszindulatú támadók feltörhetik az áldozat rendszerét.
További információk a 3. sérülékenységnél:
Secunia Advisory SA30775
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Hijacking (Visszaélés)
Input manipulation (Bemenet módosítás)
Race condition (Versenyhelyzet)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Physical/Console (Fizikai/konzol)Remote/Network (Távoli/hálózat)
Hivatkozások
SECUNIA 30802
Gyártói referencia: support.apple.com
