Выполнение произвольных команд в Mac OS X

Дата публикации:
22.02.2006
Дата изменения:
17.10.2006
Всего просмотров:
2900
Опасность:
Критическая
Наличие исправления:
Частично
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Apple Macintosh OS X
Уязвимые версии:
Mac OS X 10.4.5
Safari 2.0.3 (417.8)
Mail 2.0.5 (746/746.2)

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные команды на системе.

Уязвимость существует из-за ошибки при обработке метаданных расположения файла, хранимых в каталоге "__MACOSX" в ZIP архивах и почтовых сообщениях, в AppleDouble MIME формате. Злоумышленник может обманом заставить пользователя запустить злонамеренный файл, содержащийся в ZIP архиве или почтовом вложении и выполнить произвольные команды на целевой системе.

Уязвимость может быть эксплуатирована автоматически посредством браузера Safari во время посещения злонамеренного сайта.

Пример/Эксплоит:
Apple Mac OS X / Safari "__MACOSX" ZIP Archive Remote Code Execution Exploit

URL производителя: www.apple.com/macosx/

Решение: Способов устранения уязвимости не существует в настоящее время. В качестве временного решения пользователям рекомендуется отключить опцию "Open safe files after downloading" в браузере Safari и не открывать недоверенные ZIP архивы.

или введите имя

CAPTCHA