Összefoglaló
A kiadott frissítés javításokat tartalmaz az iCloud kulcskarika és a IOSurface tetszőleges kód futtatásos sérülékenységeire.
Leírás
Az iCloud kulcskarikában többszörös puffer túlcsordulás léphet fel. Ez egy beékelődéses (man in the middle) támadó számára lehetővé teszi, hogy tetszőleges kódot futtasson, ezáltal módosítani tudja a kliens-szerver adatfolyam során a kulcskarika felhasználását.
A sérülékenység az iCloud kulcskarika Apple iOS 8.2 előtti és az Apple OS X 10.10.2 verzióiban érintett.
IOSurface esetében egy rosszindulatú alkalmazás képes lehet tetszőleges kód futtatására rendszer jogosultságokkal
A sérülékenység az Apple iOS 8.2 előtti, Apple OS X 10.10.2 keresztül, és az Apple TV 7.1 előtti verzióiban érintett.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Biztonsági frissítés 2015-003-as verzióját letöltheti a Mac App Store vagy az Apple Software honlapján:
- http://www.apple.com/support/downloads/
Támadás típusa
execute arbitrary codeman in the middle
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: lists.apple.com
CVE-2015-1065 - NVD CVE-2015-1065
CVE-2015-1061 - NVD CVE-2015-1061