Множественные уязвимости в Apple Mac OS X
| Дата публикации: | 13.05.2009 |
| Дата изменения: | 08.06.2009 |
| Всего просмотров: | 16883 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2004-1184 CVE-2004-1185 CVE-2004-1186 CVE-2006-0747 CVE-2007-2754 CVE-2008-0456 CVE-2008-1382 CVE-2008-1517 CVE-2008-2371 CVE-2008-2383 CVE-2008-2665 CVE-2008-2666 CVE-2008-2829 CVE-2008-2939 CVE-2008-3443 CVE-2008-3529 CVE-2008-3530 CVE-2008-3651 CVE-2008-3652 CVE-2008-3655 CVE-2008-3656 CVE-2008-3657 CVE-2008-3658 CVE-2008-3659 CVE-2008-3660 CVE-2008-3790 CVE-2008-3863 CVE-2008-4309 CVE-2008-5077 CVE-2008-5557 CVE-2009-0010 CVE-2009-0021 CVE-2009-0025 CVE-2009-0040 CVE-2009-0114 CVE-2009-0145 CVE-2009-0146 CVE-2009-0147 CVE-2009-0148 CVE-2009-0149 CVE-2009-0150 CVE-2009-0152 CVE-2009-0153 CVE-2009-0154 CVE-2009-0155 CVE-2009-0156 CVE-2009-0157 CVE-2009-0158 CVE-2009-0159 CVE-2009-0160 CVE-2009-0161 CVE-2009-0162 CVE-2009-0164 CVE-2009-0165 CVE-2009-0519 CVE-2009-0520 CVE-2009-0844 CVE-2009-0845 CVE-2009-0846 CVE-2009-0847 CVE-2009-0942 CVE-2009-0943 CVE-2009-0944 CVE-2009-0946 CVE-2009-1717 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Отказ в обслуживании Раскрытие важных данных Повышение привилегий Обход ограничений безопасности Спуфинг атака Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Apple Macintosh OS X |
| Уязвимые версии: Apple Macintosh OS X версии до 10.5.7
Описание:
1. Уязвимость существует из-за ошибки в модуле mod_proxy_ftp в Web сервере Apache. Удаленный пользователь может произвести XSS нападение. Подробное описание уязвимости: 2. Уязвимость существует из-за ошибки в модуле mod_negotiation в Web сервере Apache. Злоумышленник может с помощью специально сформированного файла внедрить произвольные заголовки в ответ Web сервера и выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 3. Уязвимость существует из-за ошибки проверки границ данных при обработке Compact Font Format (CFF) шрифтов в Apple Type Services. Удаленный пользователь может с помощью документа, содержащего специально сформированный встроенный CFF шрифт, вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
4. Уязвимость существует из-за использования уязвимой версии BIND. Удаленный пользователь может произвести спуфинг атаку. Подробное описание уязвимости: 5. Уязвимость существует из-за ошибки в CFNetwork' при обработке Set-Cookie заголовков. Удаленный пользователь может заставить CFNetwork приложения (например, Safari) отправить потенциально важные данные по незашифрованному соединению. 6. Уязвимость существует из-за ошибки проверки границ данных при обработке HTTP заголовков в CFNetwork. Удаленный пользователь может с помощью специально сформированного Web сайта отправить слишком длинные HTTP заголовки приложению, вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. 7. Уязвимость существует из-за различных ошибок в CoreGraphics при обработке PDF файлов. Удаленный пользователь может с помощью специально сформированного PDF файла вызвать повреждение памяти и выполнить произвольный код на целевой системе. 8. Целочисленное переполнение существует из-за ошибки в CoreGraphics при обработке PDF файлов. Удаленный пользователь может с помощью специально сформированного PDF файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. 9. Множественные уязвимости обнаружены в CoreGraphics при обработке PDF файлов, содержащих JBIG2 потоки. Удаленный пользователь может с помощью специально сформированного PDF файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
10. Уязвимость существует из-за ошибки проверки границ данных при обработке длинных путей к файлам в Cscope. Удаленный пользователь может вызвать переполнение стека и выполнить произвольный код на целевой системе. Уязвимость относится к:
11. Уязвимость существует из-за использования уязвимой версии CUPS. Подробное описание уязвимости: 12. Уязвимость существует из-за ошибки проверки границ данных при обработке образов дисков. Злоумышленник может обманом заставить пользователя смонтировать специально сформированный образ, вызвать переполнение стека и выполнить произвольный код на целевой системе. 13. Уязвимость существует из-за ошибок при обработке образов дисков. Злоумышленник может обманом заставить пользователя смонтировать специально сформированный образ, вызвать повреждение памяти и выполнить произвольный код на целевой системе.
14. Уязвимость существует из-за использования уязвимой версии GNU enscript. Подробное описание уязвимостей:
15. Несколько уязвимостей существуют из-за использования уязвимой версии Adobe Flash. Подробное описание уязвимостей: 16. Уязвимость существует из-за ошибки в Help Viewer при загрузке таблиц каскадных стилей, указанных в URL. Удаленный пользователь может с помощью специально сформированного "help:" URL выполнить произвольные AppleScript файлы и скомпрометировать целевую систему. 17. Уязвимость существует из-за ошибки в Help Viewer при проверке путей к HTML файлам. Удаленный пользователь может с помощью специально сформированного "help:" URL выполнить произвольные AppleScript файлы и скомпрометировать целевую систему. 18. Уязвимость существует из-за ошибки в iChat, которая может привести к отправке данных в открытом виде при включенном SSL шифровании. 19. Уязвимость существует из-за ошибки в реализации International Components for Unicode (ICU) при обработке определенных кодировок. Удаленный пользователь может обойти фильтры, установленные на различных Web сайтах для защиты от XSS атак.
20. Множественные уязвимости обнаружены в демоне racoon. Подробное описание уязвимостей:
21. Множественные уязвимости существуют из-за ошибок в Kerberos. Подробное описание уязвимостей: 22. Уязвимость существует из-за ошибки при обработке workqueues в ядре системы. Локальный пользователь может вызвать отказ в обслуживании или повысить свои привилегии на системе. 23. Уязвимость существует из-за ошибки проверки границ данных в Launch Services. Злоумышленник может с помощью специально сформированного Mach-O файла вызвать постоянное завершение работы и перезапуск Finder.
24. Уязвимость существует из-за ошибки в libxml. Подробное описание уязвимости
25. Уязвимость существует из-за использования уязвимой версии Net-SNMP. Подробное описание уязвимости:
26. Уязвимость существует из-за ошибки в NTP, которая позволяет удаленному пользователю произвести спуфинг атаку. Подробное описание уязвимости:
27. Уязвимость существует из-за ошибки в NTP, которая позволяет удаленному пользователю скомпрометировать целевую систему. Подробное описание уязвимости:
28. Уязвимость существует из-за ошибки в реализации IPv6 протокола. Подробное описание уязвимости:
29. Уязвимость существует из-за использования уязвимой версии OpenSSL. Подробное описание уязвимости:
30. Уязвимость существует из-за использования уязвимой версии PHP. Подробное описание уязвимостей: 31. Уязвимость существует из-за ошибки при обработке PICT изображений в QuickDraw. Удаленный пользователь может с помощью специально сформированного PICT файла вызвать повреждение памяти и выполнить произвольный код на целевой системе. 32. Потеря значимости целочисленных существует из-за ошибки при обработке "0x77" тегов в PICT изображениях в QuickDraw. Удаленный пользователь может с помощью специально сформированного PICT файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
33. Уязвимости существуют из-за использования уязвимой версии ruby. Подробное описание уязвимостей: 34. Уязвимость существует из-за ошибки в модуле OpenSSL::OCSP при использовании библиотеки OpenSSL в ruby, что может привести к тому, что приложение воспримет отрицательный результат проверки сертификата как OCSP подтверждение. 35. Уязвимость существует из-за ошибок проверки границ данных в Mac OS X Microsoft Office Spotlight Importer. Удаленный пользователь может с помощью специально сформированного Microsoft Office файла вызвать повреждение памяти и выполнить произвольный код на целевой системе. 36. Уязвимость существует из-за ошибки при вызове команды "login". Локальный пользователь может получить повышенные привилегии на системе. 37. Уязвимость существует из-за ошибки проверки границ данных в команде telnet при обработке DNS имен. Удаленный пользователь с помощью слишком длинного DNS имени вызвать переполнение стека и выполнить произвольный код на целевой системе.
38. Уязвимость существует из-за ошибки в WebKit' при обработке SVGList объектов. Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный код на целевой системе. Уязвимость относится к:
39. Множественные уязвимости существуют из-за использования уязвимой версии FreeType. Подробное описание уязвимостей:
40. Уязвимость существует из-за использования уязвимой версии xterm. Подробное описание уязвимости:
41. Уязвимости существуют из-за использования уязвимой версии libpng. Подробное описание уязвимости: 42. Целочисленное переполнение обнаружено в Terminal при обработке отрицательных значений. Удаленный пользователь может с помощью специально сформированных "CSI[4" кодов изменения размеров окна вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. URL производителя: www.apple.com Решение: Установите последнюю версию 10.5.7 с сайта производителя.
Исправления для Server Tiger PPC: Журнал изменений:
22.05.2009 |
|
| Ссылки: |
About the security content of Security Update 2009-002 / Mac OS X v10.5.7 ZDI-09-021: Apple QuickTime PICT Unspecified Tag Heap Overflow Vulnerability ZDI-09-023: Apple OS X Unspecified ATSServer Font Parsing Memory Corruption Vulnerability iDefense Security Advisory 05.14.09: Apple Mac OS X xnu Kernel workqueue_additem/workqueue_removeitem Index Validation Vulnerability ZDI-09-022: Apple Safari Malformed SVGList Parsing Code Execution Vulnerability Apple Mac OS X xnu <= 1228.9.59 Local Kernel Root Exploit |