Apple Mac OS X 2008-003更新修复多个安全漏洞

2008-05-29T00:00:00
ID SSV:3345
Type seebug
Reporter Root
Modified 2008-05-29T00:00:00

Description

BUGTRAQ ID: 29412 CVE(CAN) ID: CVE-2008-1027,CVE-2008-1028,CVE-2008-1577,CVE-2008-1575,CVE-2008-1580,CVE-2008-1030,CVE-2008-1031,CVE-2008-1032,CVE-2008-1033,CVE-2008-1034,CVE-2008-1035,CVE-2008-1036,CVE-2008-1571,CVE-2008-1572,CVE-2008-1573,CVE-2008-1574,CVE-2008-1576,CVE-2008-1578,CVE-2008-1579

Mac OS X是苹果家族机器所使用的操作系统。

Apple 2008-002安全更新修复了Mac OS X中的多个安全漏洞,远程或本地攻击者可能利用这些漏洞造成多种威胁。

CVE-2008-1027

AFP服务器没有检查所文件或目录是否位于用于共享的文件夹中,即使文件或文件名没有位于所要共享的文件夹中,连接的用户或guest仍可以访问拥有权限的文件或文件夹。

CVE-2008-1028

AppKit处理文档文件时存在实现错误,在使用AppKit的编辑器(如TextEdit)中打开特制文件可能导致应用程序意外终止或执行任意代码。

CVE-2008-1577

使用Pixlet codec处理文件时存在多个内存破坏漏洞,打开特制的电影文件可能导致应用程序意外终止或执行任意代码。

CVE-2008-1575

Apple的Type Services服务器处理PDF文件中内嵌的字体时存在内存破坏漏洞,打印包含有特制字体的PDF文档可能导致执行任意代码。

CVE-2008-1580

Safari的SSL客户端证书处理中存在信息泄露漏洞,当Web服务器发布客户端证书请求时,会自动发送密钥链中找到的第一个客户端证书,这可能导致泄露该证书中所包含的信息。

CVE-2008-1030

CoreFoundation处理CFData对象时存在整数溢出,最终可能导致堆溢出。使用无效长度参数调用CFDataReplaceBytes的应用程序可能意外终止或执行任意代码。

CVE-2008-1031

CoreGraphics处理PDF文件时存在未初始化变量漏洞,打开特制的PDF文件可能导致应用程序意外终止或执行任意代码。

CVE-2008-1032

这个更新扩展了在某些环境下标记为可能为不安全的系统内容类型列表,例如从网页下载的时候。尽管不会自动启动这些内容类型,如果手动打开的话仍可能导致执行恶意的负载。

CVE-2008-1033

如果启用了调试日志的话,CUPS调度程序检查认证环境变量的方式存在漏洞,可能导致在通过受到密码保护的打印机执行打印任务时泄露用户名、域和口令。

CVE-2008-1034

Help Viewer处理help:topic URL时存在整数溢出,访问恶意的help:topic URL可能导致应用程序意外终止或执行任意代码。

CVE-2008-1035

iCal应用程序处理iCalendar文件(通常为.ics)的方式存在释放后使用漏洞,打开特制的iCalendar文件可能导致应用程序意外终止或执行任意代码。

CVE-2008-1036

ICU处理某些字符编码时存在转换漏洞,特制的无效字符序列可能不会出现在转换输出中,这会影响内容过滤器。访问恶意的站点可能导致跨站脚本和泄露敏感信息。

CVE-2008-1571

Image Capture的嵌入web服务器中存在目录遍历漏洞,可能导致泄露服务器系统上的本地文件。

CVE-2008-1572

Image Capture没有安全的处理临时文件,可能允许本地用户以其他运行Image Capture用户的权限覆盖文件,或访问调整大小的图形的内容。

CVE-2008-1573

BMP和GIF图形解码引擎中存在越界内存读取,导致泄露内存内容。

CVE-2008-1574

JPEG2000图形文件处理中的整数溢出可能导致堆溢出,查看特制的JPEG2000图形文件可能导致应用程序意外终止或执行任意代码。

CVE-2008-1576

Mail中存在未初始化缓冲区漏洞。当通过IPv6上的SMTP发送邮件时,Mail可能使用包含有部分未初始化内存的缓冲区,导致向消息收件人或邮件服务器管理员泄露敏感信息,还可能导致应用程序意外终止或执行任意代码。

CVE-2008-1578

sso_util命令行工具要求在参数中向其传送口令,这可能向其他本地用户泄露口令。泄露的口令包括用户、管理员和KDC管理口令。

CVE-2008-1579

在访问不存在的博客时Wiki服务器存在信息泄露漏洞,攻击者可以使用错误消息中的信息推测出是否存在本地用户名。

Apple Mac OS X 10.5 - 10.5.2 Apple Mac OS X 10.4.11 Apple MacOS X Server 10.5 - 10.5.2 Apple MacOS X Server 10.4.11 Apple


目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=http://www.apple.com/support/downloads/securityupdate2008003intel.html target=_blank>http://www.apple.com/support/downloads/securityupdate2008003intel.html</a> <a href=http://www.apple.com/support/downloads/securityupdate2008003ppc.html target=_blank>http://www.apple.com/support/downloads/securityupdate2008003ppc.html</a> <a href=http://www.apple.com/support/downloads/securityupdate2008003serverppc.html target=_blank>http://www.apple.com/support/downloads/securityupdate2008003serverppc.html</a> <a href=http://www.apple.com/support/downloads/securityupdate2008003serveruniversal.html target=_blank>http://www.apple.com/support/downloads/securityupdate2008003serveruniversal.html</a>