Security Lab

Множественные уязвимости в Apple OS X

Дата публикации:02.07.2014
Всего просмотров:1098
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:16
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
2.9 (AV:A/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C)
4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
CVE ID: CVE-2014-0015
CVE-2014-1317
CVE-2014-1355
CVE-2014-1356
CVE-2014-1357
CVE-2014-1358
CVE-2014-1359
CVE-2014-1361
CVE-2014-1370
CVE-2014-1371
CVE-2014-1372
CVE-2014-1373
CVE-2014-1376
CVE-2014-1377
CVE-2014-1379
CVE-2014-1381
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Раскрытие важных данных
Повышение привилегий
Обход ограничений безопасности
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Apple Macintosh OS X
Уязвимые версии: Apple Macintosh OS X

Описание:
Уязвимости позволяют удаленному пользователю получить доступ к конфиденциальной информации, вызвать отказ в обслуживании приложения, обойти ограничения безопасности, повысить свои привилегии на системе и получить доступ к системе.

1. Уязвимость существует из-за ошибки проверки границ данных при обработке AppleDouble файлов в ZIP архивах. Удаленный пользователь с помощью специально созданного ZIP архива может выполнить произвольный код.

2. Уязвимость существует из-за ошибки в cURL.Подробная информация доступна по адресу:
http://www.securitylab.ru/vulnerability/450930.php

3. Уязвимость существует из-за ошибки индексации массивов при обработке сообщений в компоненте Dock. Удаленный пользователь может с помощью специально созданного Dock сообщения разыменовать неверный указатель и обойти некоторые ограничения безопасности песочницы.4. Уязвимость существует из-за ошибки при обработке системных запросов в компоненте Graphics Driver. Удаленный пользователь может получить доступ к памяти ядра.

5. Уязвимость существует из-за ошибки при логгировании данных Apple ID в компоненте iBooks Commerce. Удаленный пользователь может получить доступ к закрытым данным Apple ID.

6. Уязвимость существует из-за ошибки проверки границ данных при обработке запросов OpenCL API в компоненте Graphics Driver. Удаленный пользователь может выполнить произвольный код с правами системы.

7. Уязвимость существует из-за ошибки проверки границ данных при обработке запросов OpenCL API в компоненте Intel Compute. Удаленный пользователь может выполнить произвольный код с правами системы.

8. Уязвимость существует из-за ошибки индексации массивов в компоненте IOAcceleratorFamily. Удаленный пользователь может выполнить произвольный код с правами системы.

9. Уязвимость существует из-за ошибки разыменовывания нулевого указателя при обработке аргументов IOKit API в компоненте IOReporting. Удаленный пользователь может вызвать перезагрузку системы.

10. Уязвимость существует из-за ошибки исчезновения разрядов целых чисел в компоненте launchd. Удаленный пользователь может выполнить произвольный код с правами системы.

11. Уязвимость существует из-за ошибки проверки границ данных при обработке сообщений IPC в компоненте launchd. Удаленный пользователь может вызвать переполнение буфера и выполнить произвольный код с правами системы.

12. Уязвимость существует из-за ошибки проверки границ данных при обработке сообщений журнала в компоненте launchd. Удаленный пользователь может вызвать переполнение буфера и выполнить произвольный код с правами системы.

13. Уязвимость существует из-за ошибки целочисленного переполнения в компоненте launchd. Удаленный пользователь может выполнить произвольный код с правами системы.

14. Уязвимость существует из-за ошибки разыменовывания нулевого указателя в компоненте Graphics Drivers. Удаленный пользователь может выполнить произвольный код с правами системы.

15. Уязвимость существует из-за ошибки при обработке соединения DTLS. Удаленный пользователь с помощью специально созданного сообщения может получить доступ к двум байтам памяти.

16. Уязвимость существует из-за ошибки проверки границ данных при обработке запросов IOThunderBoltController API в компоненте Thunderbolt. Удаленный пользователь может выполнить произвольный код с правами системы

URL производителя: http://www.apple.com/osx//

Решение: Обновитесь до версии 10.9.4 или примените патч безопасности 2014-003.

Ссылки: http://support.apple.com/kb/HT6281
http://support.apple.com/kb/HT6296