CERT-FI haavoittuvuustiedote 167/2007

26.11.2007

Apple OS X -käyttöjärjestelmän Mail-sovelluksen haavoittuvuus

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- ongelman rajoittaminen	Lisätietoja

Apple Mail -sähköpostiohjelman virhe mahdollistaa komentojen suorittamisen komentoikkunassa käyttäjän oikeuksin kun käyttäjä avaa tuplaklikkaamalla tietyllä tavalla muokatun liitetiedoston. Kyseisestä haavoittuvuudesta on varoitettu jo aikaisemminkin, mutta siihen julkaistut korjaukset eivät näytä periytyneen käyttöjärjestelmän uuteen versioon.

HAAVOITTUVAT OHJELMISTOT:

• Apple Macintosh OS X versio 10.5 (Leopard)
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Haavoittuvuuteen ei ole vielä korjaavaa ohjelmistopäivitystä ja sen voi välttää jättämällä sellaiset liitetiedostot avaamatta, joiden alkuperästä ei ole varmuutta.

LISÄTIETOA:

• http://www.heise-security.co.uk/news/99257
• http://secunia.com/advisories/27785/
• http://www.cert.fi/haavoittuvuudet/2006/varoitus-2006-13.html

PÄIVITYSHISTORIA:

26.11.2007, kello 13.00: Julkaistu

Sivua päivitetty 26.11.2007

Tulostusversio