Множественные уязвимости в Mac OS X

Рекомендуем почитать:

Xakep #304. IP-камеры на пентестах

Программа: Apple Macintosh OS X

Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к
важным данным, обойти ограничения безопасности, вызвать отказ в обслуживании и
выполнить произвольный код на целевой системе.

1. Ошибка в AppKit framework позволяет приложению получить символы, введенные в
защищенное поле формы в процессе сессии окна.

2. Уязвимость существует из-за ошибки в AppKit и ImageIO framework при обработке
GIF и TIFF изображений. Удаленный пользователь может выполнить произвольный код
на целевой системе.

3. Ошибка проверки границ данных существует в BOM компоненте при обработке
архивов. Удаленный пользователь может выполнить произвольный код на целевой
системе.

4. Уязвимость существует из-за недостаточной проверки входных данных в BOM
компоненте. Удаленный пользователь может с помощью специально сформированного
архива, записать произвольные файлы на систему за пределами указанной
директории.

5. Целочисленное переполнение существует в компоненте CFNetwork при обработке
chunked transfer encoding. Злоумышленник может заманить целевого пользователя на
злонамеренный сайт и выполнить произвольный код на целевой системе.

6. Уязвимость существует из-за ошибки в ClamAV при обработке определенных
почтовых сообщений. Удаленный пользователь может выполнить произвольный код на
целевой системе.

7. Уязвимость существует из-за ошибки в компоненте CoreFoundation. Удаленный
пользователь выполнить произвольный код на целевой системе.

8. Целочисленное переполнение существует в API "CFStringGetFileSystemRepresentation()".
Удаленный пользователь может выполнить произвольный код на целевой системе.

9. Ошибка в компоненте CoreGraphics позволяет приложению получить символы,
введенные в защищенное поле формы в процессе сессии окна, если включена опция "Enable
access for assistive devices".

10. Ошибка обнаружена в Finder при обработке элементов Internet Location.
Злоумышленник может указать тип Internet Location отличный от используемой схемы
URL и выполнить произвольный код при запуске элемента Internet Location.

11. Ошибка проверки границы данных обнаружена в компоненте FTPServer при
обработке имени файла. Удаленный пользователь может вызвать переполнение буфера
и выполнить произвольный код на целевой системе.

12. Различные ошибки обнаружены в Flash Player. Удаленный пользователь может с
помощью специально сформированного Flash файла выполнит произвольный код на
целевой системе.

13. Целочисленное переполнение обнаружено в ImageIO framework при обработке JPEG
изображений. Удаленный пользователь может вызвать отказ в обслуживании
приложения или выполнить произвольный код на целевой системе.

14. Ошибка в компоненте Keychain позволяет приложению использовать элементы
Keychain, даже если Keychain отключен.

15. Ошибка в компоненте LaunchServices при обработке длинных расширений файлов
может позволить злоумышленнику обойти ограничения безопасности утилиты Download
Validation.

16. Ошибка проверки границ данных обнаружена в библиотеке libcurl при обработке
определенных URL. Удаленный пользователь может выполнить произвольный код на
целевой системе.

17. Целочисленное переполнение обнаружено в компоненте Mail. Удаленный
пользователь может с помощью специально сформированного сообщения, содержащего
MacMIME-инкапсулированное вложение, выполнить произвольный код на целевой
системе.

18. Уязвимость существует в компоненте Mail при обработке данных цвета в email
сообщении. Удаленный пользователь может выполнить произвольный код на целевой
системе.

19. Ошибка дизайна в MySQL Manager может позволить локальному пользователю
получить доступ к базе данных с пустым паролем.

20. Ошибка проверки границ данных существует в компоненте Preview. Злоумышленник
может вызвать переполнение стека, при переходе в специально сформированную
иерархию директорий, и выполнить произвольный код на целевой системе.

21. Ошибка проверки границ данных существует при обработке font information и
image data в PICT изображениях. Удаленный пользователь может с помощью
специально сформированного PICT изображения вызвать переполнение стека, или
переполнение кучи и выполнить произвольный код на целевой системе.

22. Разыменование нулевого указателя обнаружено в QuickTime Streaming Server при
обработке QuickTime фильмов. Удаленный пользователь может аварийно завершить
работу приложения.

23. Ошибка проверки границ данных существует в QuickTime Streaming Server пр
обработке RTSP запросов. Удаленный пользователь может вызвать отказ в
обслуживании или выполнить произвольный код на целевой системе.

24. Уязвимость существует в Ruby. Злоумышленник может обойти ограничения
безопасности.

25. Уязвимость существует в браузере Safari при обработке архивов, содержащих
символические ссылки.

Множественные уязвимости в Mac OS X

Xakep #304. IP-камеры на пентестах

Подпишись на наc в Telegram!

Из рубрики «Взлом»

HTB Resource. Разбираемся с SSH-авторизацией по сертификату

Вход через WebTutor. Атакуем Windows через веб-приложение и Microsoft SQL

Семплеры и шедулеры. Разбираем два важных механизма улучшения генеративных картинок

Атака по SMS. Как мы нашли уязвимость в популярном GSM-модеме и раскрутили ее до RCE

Трюки

Не тапай хомяка! Как я автоматизировал игру Hamster Kombat

Кастомный Arch. Создаем образы Arch Linux для десктопа и Raspberry Pi

Диета для Arch Linux. Запускаем Arch на компьютерах с малым объемом памяти

Карманный Arch. Делаем флешку с живым образом Arch Linux

Последние новости

APT28 взломала случайную организацию по соседству, чтобы пробраться в целевую сеть Wi-Fi

ИБ-эксперты нарушили работу фишингового сервиса ONNX

Microsoft исправляет ошибку, из-за которой в Windows 10 не удалялись приложения

Под видом инструментов для создания чат-ботов в PyPI распространялся стилер Jarka

Мошенники из Таиланда разослали более миллиона фишинговых SMS из фургона