Программа: Mac OS X

Apple опубликовал обновление безопасности
для Mac OS X, которое устранило более 40
уязвимостей.

  1. Переполнение буфера в htdigest в обработке
    чрезмерно длинного аргрумента realm.

  2. Две уязвимости в Apache 2 могут
    использоваться для обхода некоторых
    ограничений безопасности или вызвать
    отказ в обслуживании.

  3. Уязвимость в Apache 2 позволяет получить
    доступ к ".DS_Store" файлам и файлам
    начинающимся с ".ht”. Проблема связанна
    с тем, что конфигурация апача
    чувствительная к регистру, но файловая
    система Apple HFS+ выполняет доступ к файлам
    не проверяя регистр.

  4. Уязвимость в Apache 2 позволяет обойти
    обыные обработчики файлов и получить
    данные файлов и fork ресурсов через HTTP.
    Проблема связана с тем, что файловая
    система Apple HFS+ разрешает файлам иметь
    множественные потоки данных.

  5. Переполнение буфера в AppKit может
    использоваться для выполнения
    произвольного кода на системе целевого
    пользователя при открытии специально
    сформированного rich text файла.

  6. Переполнение буфера в AppKit может
    использоваться для выполнения
    произвольного кода на системе целевого
    пользователя при открытии специально
    сформированного Microsoft Word .doc в TextEdit.

  7. Ошибка в AppKit позволяет локальному
    пользователю с физическим доступом к
    системе создавать дополнительные
    локальные учетные записи.

  8. Ошибка в System Profiler приводит к тому, что
    система ложно сообщает о том, требует или
    не требует авторизации Bluetooth устройство.

  9. Переполнение буфера в CoreFoundation framework при
    обработке аргументов командной строки
    может эксплуатироваться для
    переполнения буфера и выполнения
    произвольного кода на уязвимой системе.

  10. Ошибка в CoreFoundation framework при обработке
    информации Григорианской даты может
    привести к остановке приложения.

  11. Ошибки в CUPS printing service могут привести к
    остановке печати при обработке множества
    похожих задач печати.

  12. Переполнение буфера в Directory Services в
    процессе обработки аутентификации может
    использоваться для выполнения
    произвольного кода.

  13. Различные ошибки в привилегированной
    утилите dsidentity могут использоваться
    непривилегированным пользователем для
    добавления или удаления идентичного
    аккаунта пользователя в Directory Services.

  14. Программа slpd в Directory Services небезопасно
    создает временные файлы. В результате
    возможно перезаписать произвольные
    файлы через символьные ссылки с root
    привилегиями.

  15. Ошибка в Hltoolbox позволяет VoiceOver службе
    читать содержание из защищенных входных
    полей.

  16. Ошибка в Kerberos позволяет злонамеренному
    пользователю скомпрометировать уязвимую
    систему.

  17. Множественные переполнение буфера в
    Kerberos позволяют злонамеренному
    пользователю вызвать DoS или
    скомпрометировать уязвимую систему.

  18. Ошибка в Kerberos, когда Kerberos аутентификация
    используется в дополнении к LDAP, позволяет
    получить доступ к root терминальному окну.

  19. Ошибка в loginwindow позволяет
    злонамеренному пользователю, знающему 2
    пароля, чтобы получить доступ другим
    зарегистрированным аккаунтам при
    включенной опции "Fast User Switching" не
    зная эти пароли.

  20. Mail компонента, загружает удаленные
    картинки в HTML email (даже если это запрещено
    в настройках пользователя), может
    эксплуатироваться для обнаружения
    существования email адреса.

  21. Множественные ошибки в MySQL могут
    потенциально эксплуатироваться
    злонамеренным пользователем, чтобы
    скомпрометировать уязвимую систему и
    локальным пользователем чтобы выполнить
    различные действия на уязвимой системе с
    поднятыми привилегиями.

  22. Три уязвимости в OpenSSL позволяют
    злонамеренному пользователю вызвать
    отказ в обслуживании.

  23. Переполнение буфера в утилите ping может
    эксплуатироваться для переполнения
    буфера и потенциального получения
    поднятых привилегий.

  24. Ошибка в QuartzComposerScreenSaver может
    эксплуатироваться злонамеренным
    пользователем с физическим доступом,
    чтобы открыть Web страницы когда
    заблокирован RSS Visualizer экранная заставка.

  25. Ошибка в Safari позволяет обойти проверку
    безопасности браузера и выполнить
    произвольные команды при нажатии на
    ссылку в специально сформированном rich text
    файле.

  26. Ошибка в Safari при обработке форм в XSL
    форматированной странице может раскрыть
    представленную информацию при следующем
    посещении Web страницы.

  27. Ошибка в SecurityInterface компоненте может
    раскрыть последние используемые пароли
    пользователей в password assistant.

  28. Переполнение буфера в servermgrd в процессе
    аутентификации может использоваться для
    выполнение произвольного кода.

  29. Ошибка в servermgr_ipfilter может не записать в
    Active Rules некоторые политики межсетевого
    экрана, созданные в Server Admin утилите.

  30. Некоторые уязвимости в Squirrelmail могут
    эксплуатироваться для выполнения XSS
    нападений или раскрытия чувствительной
    информации.

  31. Переполнение в утилите traceroute может
    использоваться для выполнения
    произвольного кода.

  32. Ошибка в WebKit может использоваться для
    обхода проверки безопасности браузера и
    выполнения произвольных команды при
    нажатии на ссылку в специально
    сформированном PDF документе.

  33. Различные ошибки в Weblog Server могут
    эксплуатироваться для выполнения XSS
    нападений.

  34. Уязвимость в X11 может потенциально
    эксплуатироваться злонамеренным
    пользователем, чтобы скомпрометировать
    уязвимую систему.

  35. Уязвимость в zlib может эксплуатироваться
    злонамеренным пользователем чтобы
    выполнить DoS против уязвимого приложения
    или выполнить произвольный код на
    системе.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии