Security Lab

Множественные уязвимости в Apple Macintosh OS X

Дата публикации:24.04.2014
Всего просмотров:859
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:9
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:OF/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
CVE ID: CVE-2013-4164
CVE-2013-5170
CVE-2013-6393
CVE-2014-1295
CVE-2014-1314
CVE-2014-1315
CVE-2014-1316
CVE-2014-1318
CVE-2014-1319
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Раскрытие важных данных
Неавторизованное изменение данных
Обход ограничений безопасности
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Apple Macintosh OS X
Уязвимые версии: Apple Macintosh OS X

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности, манипулировать важными данными, получить доступ к определенной конфиденциальной информации, вызвать отказ в обслуживании и выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки формата строки при обработке URL-адресов в компоненте CoreServicesUIAgent. Удаленный пользователь может выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки в компоненте FontParser.
Подробное описание уязвимости доступно по адресу:
http://www.securitylab.ru/vulnerability/446856.php№7
Эта уязвимость существует в версии 10.8.5.

3. Уязвимость существует из-за ошибки в компоненте Heimdal Kerberos при обработке данных ASN.1 . Удаленный пользователь может аварийно завершить работу приложения.

4. Уязвимость возникает из-за ошибки при обработке изображений JPEG формата в компоненте ImageIO. Удаленный пользователь может с помощью специально сформированного JPEG изображения вызвать переполнение буфера.

5. Уязвимость существует из-за ошибки в компоненте Intel Graphics Driver. Удаленный пользователь может вызвать повреждение памяти. 6. Уязвимость существует из-за ошибки, прилагаемой в комплекте уязвимой версии libyaml в компоненте Ruby.

7. Уязвимость существует из-за иной ошибки в компоненте Ruby.
Подробное описание уязвимости доступно по адресу:
http://www.securitylab.ru/vulnerability/447974.php

Для успешной эксплуатации уязвимости № 2 и № 4-№ 7 удаленный пользователь может выполнить произвольный код на целевой системе.

Эта уязвимость существует в версиях 10.7.5, 10.8.5 и 10.9.2.

8. Уязвимость существует из-за ошибки в компоненте Security - Secure Transport при обработке SSL. Удаленный пользователь может с помощью атаки рукопожатия получить доступ к определенной конфиденциальной информации или манипулировать определенными сессиями операций.

9. Уязвимость существует из-за ошибки в компоненте WindowServer при обработке сессий WindowServer. Удаленный пользователь может обойти некоторые ограничения изолированной программной среды.

Уязвимости №5, №8, №9 существуют в версии 10.8.5 и 10.9.2.

URL производителя: http://www.apple.com/

Решение: Установите последнюю версию Security Update 2014-002 с сайта производителя.

Ссылки: http://support.apple.com/kb/HT6207