Apple Mac OS X 10.5.3不受影响系统:
Apple Mac OS X 10.4.11
Apple MacOS X Server 10.5.3
Apple MacOS X Server 10.4.11
Apple Mac OS X 10.5.4描述:
Apple MacOS X Server 10.5.4
BUGTRAQ ID: 30018
CVE(CAN) ID: CVE-2008-2308,CVE-2008-2309,CVE-2008-2310,CVE-2008-2314,CVE-2008-2311,CVE-2008-2313
Mac OS X是苹果家族机器所使用的操作系统。
Apple 2008-004安全更新修复了Mac OS X中的多个安全漏洞,本地或远程攻击者可能利用这些漏洞造成多种威胁。
CVE-2008-2308
在处理别名数据结构的AFP卷标加载信息时存在内存破坏漏洞,解析了包含有恶意卷标加载信息的别名会导致应用程序意外终止或执行任意指令。
CVE-2008-2309
这个更新向系统的内容类型列表添加了在某些环境下(如从网页下载时)标记为不安全的.xht和.xhtm文件。尽管不会自动加载这些内容类型,但手动打开的话可能导致执行恶意负载。
CVE-2008-2310
c++filt调试工具中存在格式串错误,向c++filt传送特制的字符串可能导致应用程序意外终止或执行任意指令。
CVE-2008-2314
如果将系统设置为需要口令才能唤醒休眠或屏保,且设置了Exposé热键,则物理访问的用户无需输入口令就可以访问系统。
CVE-2008-2311
当链接的目标在很窄的验证时间窗口发生变化时,符号链接的下载验证就会出现竞争条件。如果在Safari中启用了“打开安全文件”选项,访问恶意站点就会导致在用户系统中打开文件。
CVE-2008-2313
在创建新用户时本地用户可以用将会称为主目录一部分的文件添加User Template目录,导致以新用户的权限执行任意指令。
<*来源:Brian Mastenbrook
Andrew Cassell
Andrew Mortensen
链接:http://secunia.com/advisories/28136/
http://support.apple.com/kb/HT2163
*>
建议:
厂商补丁:
Apple
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.apple.com