Множественные уязвимости в Apple Mac OS X

Дата публикации:
16.11.2009
Дата изменения:
16.11.2009
Всего просмотров:
1758
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-5707
CVE-2007-6698
CVE-2008-0658
CVE-2009-0023
CVE-2009-1191
CVE-2009-1195
CVE-2009-1574
CVE-2009-1632
CVE-2009-1890
CVE-2009-1891
CVE-2009-1955
CVE-2009-1956
CVE-2009-2202
CVE-2009-2285
CVE-2009-2408
CVE-2009-2409
CVE-2009-2412
CVE-2009-2414
CVE-2009-2416
CVE-2009-2666
CVE-2009-2799
CVE-2009-2808
CVE-2009-2810
CVE-2009-2818
CVE-2009-2819
CVE-2009-2820
CVE-2009-2823
CVE-2009-2824
CVE-2009-2825
CVE-2009-2826
CVE-2009-2827
CVE-2009-2828
CVE-2009-2829
CVE-2009-2830
CVE-2009-2831
CVE-2009-2832
CVE-2009-2833
CVE-2009-2834
CVE-2009-2835
CVE-2009-2836
CVE-2009-2837
CVE-2009-2838
CVE-2009-2839
CVE-2009-2840
CVE-2009-3111
CVE-2009-3291
CVE-2009-3292
CVE-2009-3293
Вектор эксплуатации:
Удаленная
Воздействие:
Брут-форс атака
Отказ в обслуживании
Неавторизованное изменение данных
Повышение привилегий
Обход ограничений безопасности
Спуфинг атака
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Apple Macintosh OS X
Уязвимые версии: Apple Macintosh OS X версии до 10.6.2

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести XSS нападение и спуфинг атаку, повысить свои привилегии, получить доступ к важным данным, произвести неавторизованное изменение данных и брут-форс атаку, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки проверки границ данных в AFP Client компоненте. Злоумышленник может обманом заставить пользователя подключиться к специально сформированному AFP серверу, вызвать повреждение памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки в Adaptive Firewall компоненте, которая не позволяет приложению обнаружить брут-форс атаки.

3. Уязвимости существуют из-за использования уязвимой версии Apache. Подробное описание уязвимостей:
www.securitylab.ru/vulnerability/378184.php
www.securitylab.ru/vulnerability/380418.php
www.securitylab.ru/vulnerability/384662.php
www.securitylab.ru/vulnerability/384661.php
www.securitylab.ru/vulnerability/387642.php

4. Уязвимость существует из-за ошибки в Apache, которая позволяет произвести XSS нападение с помощью метода HTTP TRACE.

5. Уязвимость существует из-за ошибок в Apache Portable Runtime. Подробное описание уязвимостей:
http://www.securitylab.ru/vulnerability/383845.php

6. Множественные ошибки проверки границ данных обнаружены в Apple Type Services при обработке встроенных шрифтов. Удаленный пользователь может с помощью специально сформированного документа вызвать переполнение буфера и выполнить произвольный код на целевой системе.

7. Уязвимость существует из-за ошибки в Certificate Assistant компоненте, которая позволяет обманом заставить пользователя принять сертификат, содержащий NULL символы в поле Common Name.

8. Уязвимость существует из-за целочисленных переполнений в компоненте CoreGraphics. Удаленный пользователь может с помощью специально сформированного PDF файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

9. Множественные уязвимости существуют в CoreMedia и QuickTime, которые позволяют удаленному пользователю скомпрометировать целевую систему. Подробное описание уязвимостей:
www.securitylab.ru/vulnerability/385053.php

10. Уязвимость существует из-за ошибки в CUPS, которая позволяет удаленному пользователю произвести XSS нападение. Подробное описание уязвимости:
www.securitylab.ru/vulnerability/387535.php

11. Уязвимость существует из-за ошибки дизайна в компоненте Dictionary. Удаленный пользователь может записать произвольные данные в произвольные директории на системе пользователя. Для успешной эксплуатации уязвимости требуется доступ к локальной сети целевого пользователя.

12. Уязвимость существует из-за ошибки в компоненте DirectoryService. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе, сконфигурированной как сервер DirectoryService.

13. Уязвимость существует из-за ошибки в компоненте Disk Images. Удаленный пользователь может во время загрузки специально сформированного образа, содержащего файловую систему FAT, вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

14. Уязвимость существует из-за множественных ошибок в Dovecot CMU Sieve. Удаленный пользователь может скомпрометировать целевую систему. Подробное описание уязвимостей:
www.securitylab.ru/vulnerability/385370.php

15. Уязвимость существует из-за ошибки проверки входных данных в компоненте Event Monitor. Удаленный пользователь может с помощью специально сформированных аутентификационных данных, переданных SSH серверу, внедрить определенные данные в системные журналы событий. Эта уязвимость может использоваться для DoS атаки на службы, обрабатывающие журналы событий.

16. Уязвимость существует из-за ошибки в Fetchmail, которая позволяет удаленному пользователю произвести спуфинг атаку. Подробное описание уязвимости:
www.securitylab.ru/vulnerability/384844.php

17. Уязвимость существует из-за ошибки проверки границ данных в утилите "file". Злоумышленник может обманом заставить пользователя использовать утилиту для обработки специально сформированного Common Document Format (CDF) файла, вызвать переполнение буфера и выполнить произвольный код на целевой системе.

18. Уязвимость существует из-за ошибки в компоненте FTP Server. Удаленный пользователь может с помощью специально сформированной команды CWD вызвать переполнение буфера и выполнить произвольный код на целевой системе.

19. Уязвимость существует из-за того, что Help Viewer компонент не использует HTTPS для просмотре удаленных Apple Help данных. Удаленный пользователь может с помощью специально сформированных help:runscript ссылок подменить HTTP ответы и выполнить произвольный код на целевой системе.

20. Уязвимость существует из-за ошибки проверки границ данных при обработке TIFF изображений в компоненте ImageIO. Удаленный пользователь может вызвать потерю значимости буфера и выполнить произвольный код на целевой системе. Подробное описание уязвимости:
www.securitylab.ru/vulnerability/381759.php

21. Уязвимость существует из-за неизвестной ошибки в UCCompareTextDefault API в International Components for Unicode. Удаленный пользователь может вызвать переполнение буфера и выполнить произвольный код на целевой системе.

22. Уязвимость существует из-за ошибки в IOKit, которая позволяет непривилегированным пользователям обновить прошивку для подключенной USB или Bluetooth Apple клавиатуры.

23. Уязвимость существует из-за множественных ошибок в компоненте IPSec, которые позволяют произвести DoS атаку. Подробное описание уязвимостей:
www.securitylab.ru/vulnerability/357366.php

24. Уязвимость существует из-за различных ошибок проверки входных данных в ядре системы при обработке сегментов состояния задач. Локальный пользователь может получить доступ к важным данным, вызвать отказ в обслуживании и повысить свои привилегии на системе.

25. Уязвимость существует из-за ошибки в компоненте Launch Services при открытии каталога, находящегося в карантине, которая может привести к отсутствию диалогового окна с предупреждением.

26. Уязвимость существует из-за использования уязвимой версии libxml. Подробное описание уязвимостей:
www.securitylab.ru/vulnerability/383755.php

27. Уязвимость существует из-за ошибки состояния операции в компоненте Login Window. Локальный пользователь может войти под любой учетной записью без пароля. Для успешной эксплуатации уязвимости на системе должна быть сконфигурирована учетная запись без пароля, например для гостевой учетной записи.

28. Уязвимость существует из-за ошибки при обработке SSL сертификатов в OpenLDAP. Злоумышленник может с помощью специально сформированного сертификата, содержащего нулевой символ в поле Common Name, произвести атаку «человек посередине».

29. Уязвимость существует из-за использования уязвимой версии OpenLDAP. Подробное описание уязвимостей:
www.securitylab.ru/vulnerability/306374.php

30. Уязвимость существует из-за множественных уязвимостей в OpenSSH. Подробное описание уязвимостей:
www.securitylab.ru/vulnerability/363209.php

31. Уязвимость существует из-за использования уязвимой версии PHP. Подробное описание уязвимостей:
www.securitylab.ru/vulnerability/385574.php

32. Уязвимость существует из-за неизвестной ошибки при обработке PICT изображений. Удаленный пользователь может с помощью специально сформированного PICT изображения вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

33. Целочисленное переполнение обнаружено в QuickLook при обработке Microsoft Office файлов. Удаленный пользователь может вызвать переполнение буфера и выполнить произвольный код на целевой системе.

34. Уязвимость существует из-за ошибки в FreeRADIUS. Подробное описание уязвимости:
www.securitylab.ru/vulnerability/384728.php

35. Множественные уязвимости обнаружены в Screen Sharing клиенте. Злоумышленник может обманом заставить пользователя подключится к злонамеренному VNC серверу, вызвать повреждение памяти и выполнить произвольный код на целевой системе.

36. Уязвимость существует из-за небезопасной обработки файлов в компоненте Spotlight. Локальный пользователь может перезаписать файлы с привилегиями другой учетной записи.

37. Множественные уязвимости обнаружены в Subversion. Подробное описание уязвимостей:
www.securitylab.ru/vulnerability/387723.php

URL производителя: www.apple.com/macosx/

Решение: Установите последнюю версию 10.6.2 с сайта производителя.

Ссылки: About Security Update 2009-006 / Mac OS X v10.6.2

или введите имя

CAPTCHA