Множественные уязвимости в Mac OS X

Дата публикации:
18.03.2013
Дата изменения:
18.03.2013
Всего просмотров:
1780
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
31
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:7.5/Temporal:5.5
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:7.5/Temporal:5.5
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:L/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:4.6/Temporal:3.4
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:W/RC:C) = Base:7.5/Temporal:6.1
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:H/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:7.6/Temporal:5.6
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:P/RL:O/RC:C) = Base:10/Temporal:7.8
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:P/RL:O/RC:C) = Base:10/Temporal:7.8
(AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:5.8/Temporal:4.3
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
CVE ID:
CVE-2011-3058
CVE-2012-2088
CVE-2012-3488
CVE-2012-3489
CVE-2012-3525
CVE-2012-3749
CVE-2012-3756
CVE-2013-0156
CVE-2013-0333
CVE-2013-0963
CVE-2013-0966
CVE-2013-0967
CVE-2013-0969
CVE-2013-0970
CVE-2013-0971
CVE-2013-0973
CVE-2013-0976
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Раскрытие системных данных
Обход ограничений безопасности
Спуфинг атака
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Apple Macintosh OS X
Уязвимые версии: Apple Macintosh OS X

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки в mod_hfs_apple при обработке URI с определенными Unicode-последовательностями. Удаленный пользователь может обойти функционал HTTP-аутентификации.

2. Продукт содержит уязвимую версию International Components for Unicode. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/422820.php, №2

3. Уязвимость существует из-за ошибки при обработки подтверждения отказа сертификата AppleID в IdentityService. Удаленный пользователь может с помощью недействительного сертификата обойти функционал аутентификации AppleID.

4. Продукт содержит уязвимую версию International ImageIO. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/422820.php, №2

5. Уязвимость существует из-за ошибки при обработке графических данных в IOAcceleratorFamily. Удаленный пользователь может вызвать повреждение данных и выполнить произвольный код на целевой системе.

6. Продукт содержит уязвимую версию International Kernel. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/432009.php, №1

7. Уязвимость существует из-за логической ошибки при обработке VoiceOver в Login Window. Пользователь может с помощью System Preferences осуществить неавторизованное изменение системных конфигураций

8. Продукт содержит уязвимую версию International ImageIO. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/428752.php

9. Уязвимость существует из-за ошибки использования после освобождения при обработке предварительного просмотра PDF файлов в PDFKit. Удаленный пользователь может с помощью специально сформированного PDF файла выполнить произвольный код на целевой системе.

10. Продукт содержит уязвимую версию Podcast Producer Server. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/436021.php http://www.securitylab.ru/vulnerability/436884.php

11. Продукт содержит уязвимую версию PostgreSQL. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/428586.php

12. Продукт содержит уязвимую версию Podcast Producer Server. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/436021.php

13. Продукт содержит уязвимую версию QuickTime. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/432130.php № 9

14. Продукт содержит уязвимую версию Ruby. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/436021.php http://www.securitylab.ru/vulnerability/436884.php

15. Уязвимость существует из-за ошибки при обработке содержимого плагина в Software Update. Удаленный пользователь может осуществить атаку «человек посередине».

16. Продукт содержит уязвимую версию Wiki Server. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/436021.php http://www.securitylab.ru/vulnerability/436021.php

Производитель сообщил также о бреши при обработке URL-адресов в FaceTime:// в Messages. Удаленный пользователь может с помощью специально сформированной ссылки обойти подтверждение вызова FaceTime и инициировать вызов FaceTime.

URL производителя: http://www.apple.com/

Решение: Для устранения уязвимости установите исправление с сайта производителя.

Ссылки: http://support.apple.com/kb/HT5672
http://lists.apple.com/archives/security-announce/2013/Mar/msg00002.html

или введите имя

CAPTCHA