Apple Mac OS X多个远程和本地安全漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1202653 漏洞类型 未知
发布时间 2003-07-18 更新时间 2005-10-20
CVE编号 CVE-2004-1086 CNNVD-ID CNNVD-200412-008
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200412-008
|漏洞详情
AppleMacOSX是美国苹果(Apple)公司为Mac计算机所开发的一套专用操作系统。AppleMacOSX存在多个安全问题,本地和远程攻击者可以利用这个漏洞进行权限提升,拒绝服务等攻击。第一个问题影响Apple的Apache配置,Apple的默认Apache配置不正确限制对部分文件的访问,此问题的CVEID为CAN-2004-1083。第二个问题是影响MacOSX系统上的Apacheweb服务程序,由于不正确处理HFS+文件系统文件资源,可导致敏感信息泄露,此问题的CVEID为CAN-2004-1084。第三个问题影响Apple的窗口系统和AppKit。此问题允许攻击者捕获键盘输入,此问题的CVEID为CAN-2004-1081。第四个问题是CyrusIMAP服务程序处于Kerberos验证工作方式时存在问题,攻击者可以利用这个漏洞绕过验证,不过此问题只影响MacOSXServer10.3.X及之前版本。此问题的CVEID为CAN-2004-1089。第五个问题是HIToolBox存在问题,此问题影响MacOSX,和MacOSXServer10.3.X系统,10.2.X不受此漏洞影响。此问题允许攻击者当运行在kiosk模式下杀掉应用程序。此问题的CVEID为CAN-2004-1085。第六个问题是MacOSX10.3.X桌面和服务程序的PostFix存在问题,允许攻击者无需验证发送邮件,此问题的CVEID为CAN-2004-1088。第七个问题是MacOSX10.3.X桌面和服务程序的PSNormalizer工具存在问题,允许攻击者以用户进程权限执行任意指令。此问题的CVEID为CAN-2004-1086。第八个问题存在于QuickTimeStreaming服务程序中,攻击者可以利用此漏洞对服务程序进行拒绝服务攻击。此问题的CVEID为CAN-2004-1123。最后一个问题存在于Apple的终端应用程序中,当'SecureKeyboardEntry'功能没有开启时会报告此功能激活,这样可增加相关的安全威胁。此问题的CVEID为CAN-2004-1087。
|参考资料

来源:XF
名称:macos-psnormalizer-bo(18354)
链接:http://xforce.iss.net/xforce/xfdb/18354
来源:CIAC
名称:P-049
链接:http://www.ciac.org/ciac/bulletins/p-049.shtml
来源:SECUNIA
名称:13362
链接:http://secunia.com/advisories/13362/
来源:APPLE
名称:APPLE-SA-2004-12-02
链接:http://lists.apple.com/archives/security-announce/2004/Dec/msg00000.html
来源:BID
名称:11802
链接:http://www.securityfocus.com/bid/11802