Эксперты по информационной безопасности обнаружили уязвимости в Apple Macintosh OS X. Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, получить доступ к важным данным, повысить свои привилегии, вызвать отказ в обслуживании и выполнить произвольный код на целевой системе.
Уязвимость существует из-за ошибки в драйвере Airport. Удаленный пользователь может выполнить произвольный код на целевой системе. Более подробная информация по уязвимости:
Повреждение памяти в Apple Airport
Уязвимость существует из-за того, что Apple Type Services (ATS) сервер создает лог файлы небезопасным образом. Локальный пользователь может создать и перезаписать произвольные файлы с системными привилегиями.
Несколько ошибок проверки границ данных в Apple Type Services (ATS) сервере могут позволить локальному пользователю с помощью специально сформированного запроса вызвать переполнение буфера и выполнить произвольный код на системе.
Уязвимость существует из-за ошибки проверки границ данных в Apple Type Services (ATS). Удаленный пользователь может с помощью специально сформированных файлов шрифтов вызвать переполнение стека и выполнить произвольный код на целевой системе.
Уязвимость существует из-за ошибки в CFNetwork Framework. Злоумышленник может заставить FTP клиент целевого пользователя с помощью специально сформированного FTP URI выполнить произвольные FTP команды.
Уязвимость существует из-за того, что система использует уязвимую версию ClamAV. Удаленный пользователь может вызвать отказ в обслуживании приложения. Более подробное описание уязвимости:
Переполнение буфера в Clam AntiVirus
Уязвимость существует из-за ошибки проверки границ данных в Finder. Злоумышленник может при просмотре директории, содержащей специально сформированный ".DS_Store" файла, вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
Уязвимость существует из-за ошибки в ftpd. Удаленный пользователь может определить существующие имена пользователей и вызвать отказ в обслуживании путем неоднократного введения некорректного пароля для существующей учетной записи.
Несколько уязвимостей обнаружено в gnuzip. Удаленный пользователь может вызвать отказ в обслуживании или выполнить произвольный код на целевой системе. Более подробное описание уязвимости:
Множественные уязвимости в gzip
Несколько уязвимостей в OpenSSL могут позволить злоумышленнику вызвать отказ в обслуживании, обойти ограничения безопасности и скомпрометировать целевую систему. Более подробное описание уязвимостей:
Обход ограничений безопасности в OpenSSL
Множественные уязвимости в универсальной криптографической библиотеке OpenSSL
Уязвимость в Perl может позволить злоумышленнику вызвать отказ в обслуживании и потенциально скомпрометировать уязвимое Perl приложение. Более подробная информация об уязвимости:
Целочисленное переполнение буфера в Perl
Несколько уязвимостей в PHP могут позволить злоумышленнику вызвать отказ в обслуживании и скомпрометировать целевую систему. Более подробная информация об уязвимостях:
Раскрытие данных в функции "html_entity_decode()" в PHP
Выполнение произвольного кода и отказ в обслуживании в PHP
Переполнение буфера в PHP
Уязвимость существует из-за ошибки проверки границ данных в PPP. Удаленный пользователь может вызвать отказ в обслуживании или скомпрометировать целевую систему.
Уязвимость существует из-за ошибки в Samba. Удаленный пользователь может вызвать отказ в обслуживании приложения. Более подробное описание уязвимости:
Отказ в обслуживании в Samba
Исправлена уязвимость в Security Framework, которая приводила к тому, что Secure Transport не использовал надежное шифрование данных.
Уязвимость существует в Security Framework из-за ошибки при обработке X.509 сертификатов. Удаленный пользователь может вызвать отказ в обслуживании приложения. Примечание:
Версии до Mac OS X v10.4 не уязвимы.
Уязвимость существует в Security Framework, которая не позволяла службе Online Certificate Status Protocol (OCSP) получить списки отозванных сертификатов при использовании http прокси.
Исправлена ошибка в Security Framework, которая приводила к ошибке при отзыве некоторых сертификатов.
Обнаружена уязвимость в VPN сервере, которая позволяет локальному пользователю выполнить произвольный код на целевой системе.
Уязвимость в WebKit позволяет удаленному пользователю выполнить произвольный код на системе с помощью специально сформированного HTML документа.
Обнаружена уязвимость в Installer, когда системные привилегии используются без дополнительной авторизации.
Для использования уязвимостей нет эксплойта. Для решения проблемы установите исправление с сайта производителя, сообщил Securitylab.
Интересные материалы: все новости
|