Apple OS X több sérülékenysége

CH azonosító

CH-10631

Angol cím

Apple OS X SSL/TLS Spoofing Vulnerability

Felfedezés dátuma

2014.02.24.

Súlyosság

Magas

Érintett rendszerek

Apple
Mac OS X

Érintett verziók

Apple Macintosh OS X

Összefoglaló

Sérülékenységet jelentettek az Apple OS X-hez.

Leírás

A sérülékenységet kihasználva rosszindulatú, helyi felhasználók megkerülhettek egyes biztonsági korlátozásokat és emelt szintű jogosultságokat szerezhettek, valamint a rosszindulatú támadók érzékeny információkat tulajdoníthattak el, átveréses támadásokat irányíthattak, szolgáltatás megtagadást (DoS) okozhattak, és feltörhették a sérülékeny rendszert.

  • Két biztonsági rés volt az Apache-ban.
  • A beágyazott Type 1 betűtípusok kezelésekor egy hiba jelentkezik ATS-ben, amely kihasználható a memória tartalmának megváltoztatására.
  • Bizonyos képek kezelésekor egy hiba jelentkezik a CoreAnimation-ban, amely kihasználható halom alapú puffer túlcsordulás okozására.
  • Az Unicode betűtípusok kezelésekor előálló előjel hiba CoreText-ben kihasználható memória tartalmának megváltoztatására.
  • Hiba keletkezhet az cURL-ben, amikor tanúsítványkezelés során felépül a HTTPS kapcsolat egy IP címet tartalmazó URL esetén, amely kihasználható pl. közbeékelődéses (MITM) támadások irányítására.
  • Egy hiba jelenik meg a Secure Transport-ban, amikor egy SSL / TLS kapcsolat hitelessítését megerősítjük.
  • A systemsetupparancshoz kapcsolódó hiba kihasználható a rendszeridő manipulálására
  • A File Bookmark-ban lévő hiba fájlnevek kezelésekor kihasználható puffer túlcsordulás okozására túl hosszú állománynevekkel
  • A Finder-ben lévő ACL-ek elérésekor az ACL-ek kihasználhatóak az ACL-ek elrontására. 
  • Egy hiba van az ImageIO-ban.
  • Egy hiba az IOSerialFamily illesztőprogramban kihasználható egy tömb határon kívüli hozzáférésre
  • Két hiba van a NVidia Drivers-ben.
  • Több hiba van a PHP-ben.
  • Egy hiba a QuickLook-ban Microsoft Office fájlok kezelésekorkihasználható amemória tartalmának megváltoztatására
  • Hhiba van a QuickLook-ban Microsoft Word fájlok kezelésekor, amely kihasználható amemória tartalmának megváltoztatására.
  • TöbbhibavanQuickTime-ban.
  • Tervezési hibavana Secure Transport-ban.
A sérülékenységet a 10.9.1. verzióban jelentették, más verziók is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra