Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2006 > CERT-FI haavoittuvuustiedote 013/2006

CERT-FI haavoittuvuustiedote 013/2006

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

14.3.2006

Haavoittuvuuksia Mac OS X -ohjelmistoissa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- suojauksen ohittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Apple on julkaissut "Security Update 2006-002" -päivityksen Mac OS X -käyttöjärjestelmäympäristöön. Päivityksellä korjataan lukuisia haavoittuvuuksia.

Yksi haavoittuvuuksista liittyy JavaScript-koodia sisältävien dokumenttien käsittelyyn. Tietyissä tapauksissa dokumentin sisältämä muokattu JavaScript-koodi voidaan suorittaa ilman sille asetettuja turvarajoituksia. Haavoittuvuutta voidaan hyväksikäyttää esimerkiksi www-sivuston kautta.

Toinen korjattu haavoittuvuus on puskuriylivuoto Mail-sähköpostiohjelmistossa. Puskuriylivuoto tapahtuu tietyllä tavalla muokatun sähköpostiliitetiedoston käsittelyssä. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä avaamaan liitetiedosto "tupla-klikkaamalla". Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa omia komentojaan sähköpostia lukevan käyttäjän oikeuksilla.

Muut tietoturvakorjaukset liittyvät Safari-selaimen ja LaunchServices-ohjelmakomponentin suorittamaan puutteelliseen tiedostotyypin validointiin. Puutteita voidaan hyväksikäyttää naamioimalla suoritettava ohjelmisto esimerkiksi kuva- tai äänitiedostoksi, jotka Safari-selain avaa automaattisesti.

HAAVOITTUVAT OHJELMISTOT:

  • Mac OS X v10.4.5 ja sitä aikaisemmat versiot

  • Mac OS X Server v10.4.5 ja aikaisemmat versiot

Tarkemmat versiotiedot saatavilla ohjelmiston valmistajalta.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot "Security Update 2006-002" -päivityksellä valmistajan ohjeiden mukaan.

LISÄTIETOA:

http://docs.info.apple.com/article.html?artnum=303453

http://www.apple.com/support/downloads/

CVE-2006-0400 CVE-2006-0396 CVE-2006-0397 CVE-2006-0398
CVE-2006-0399

PÄIVITYSHISTORIA:

14.03.2006: Julkaistu
Sivua päivitetty 11.03.2007   Tulostusversio Tulostusversio