Apple закрыла ряд критических уязвимостей в Mac OS X
Apple выпустила обновление Mac OS X 10.4.7, в котором закрыт ряд критических уязвимостей, обнаруженный в предыдущих версиях семейства Mac OS X и Mac OS X Server 10.4.x.
Исправлена ошибка в работе серверной части кода обмена файлами между клиентом и сервером по протоколу AFP (AppleTalk Filing Protocol). Во время использования сервера AFP для поиска файлов, злоумышленники извне могли получить имена файлов и директорий, расположенных на пользовательской машине.
Переполнение стека в функции ImageIO, используемой для обработки изображений, позволяло запустить произвольный код, встроенный специальным образом в изображение формата TIFF.
Ошибка в серверном коде OpenLDAP могла быть использована для атаки "отказ в обслуживании" посредством отправки на компьютер-жертву специально сформированного LDAP запроса.
Ошибка обработки формата строки в программе setuid, известной как "launchd", позволяла пользователю с ограниченными правами выполнять код с правами администратора.
И, наконец, антивирусная технология ClamAV из-за ошибки позволяла выполнять произвольный код, скрытый в фальшивой базе сигнатур вирусов.
Предыдущее обновление OS X с устранением более десятка уязвимостей вышло в марте. Затем, в апреле, менее чем через неделю, вышла заплатка для браузера Safari и ошибок, используемых двумя червями для Mac OS X.
Исправлена ошибка в работе серверной части кода обмена файлами между клиентом и сервером по протоколу AFP (AppleTalk Filing Protocol). Во время использования сервера AFP для поиска файлов, злоумышленники извне могли получить имена файлов и директорий, расположенных на пользовательской машине.
Переполнение стека в функции ImageIO, используемой для обработки изображений, позволяло запустить произвольный код, встроенный специальным образом в изображение формата TIFF.
Ошибка в серверном коде OpenLDAP могла быть использована для атаки "отказ в обслуживании" посредством отправки на компьютер-жертву специально сформированного LDAP запроса.
Ошибка обработки формата строки в программе setuid, известной как "launchd", позволяла пользователю с ограниченными правами выполнять код с правами администратора.
И, наконец, антивирусная технология ClamAV из-за ошибки позволяла выполнять произвольный код, скрытый в фальшивой базе сигнатур вирусов.
Предыдущее обновление OS X с устранением более десятка уязвимостей вышло в марте. Затем, в апреле, менее чем через неделю, вышла заплатка для браузера Safari и ошибок, используемых двумя червями для Mac OS X.
Ещё новости по теме:
18:20