Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2009 > CERT-FI haavoittuvuustiedote 089/2009

CERT-FI haavoittuvuustiedote 089/2009

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

11.9.2009

Apple julkaisi päivityksiä OS X -käyttöjärjestelmään

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- käyttövaltuuksien laajentaminen
- palvelunestohyökkäys
- suojauksen ohittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Apple julkaisi Mac OS X -käyttöjärjestelmään päivityksiä useisiin haavoittuvuuksiin. Haavoittuvuudet liittyvät muun muassa seuraaviin kolmansien osapuolten komponentteihin: Adobe Flash Player plug-in, PHP, CUPS, MySQL ja ClamAV. Lisäksi korjauksen saivat Alias Manager, CarbonCore, ColorSync, CoreGraphics ja ImageIO.
Useat haavoittuvuuksista voivat mahdollistaa hyökkääjän oman ohjelmakoodin suorituksen kohdejärjestelmässä.

ColorSync-haavoittuvuuteen (CVE-2009-2804) on olemassa julkinen hyväksikäyttömenetelmä joka on hyödynnettävissä ainakin Safari-selaimessa.

HAAVOITTUVAT OHJELMISTOT:

  • Mac OS X sekä Mac OS X Server 10.6
  • Mac OS X sekä Mac OS X Server 10.5.8
  • Mac OS X sekä Mac OS X Server 10.4.11

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaan. Helpoin tapa tähän on automaattinen päivitystyökalu.

LISÄTIETOA:

PÄIVITYSHISTORIA:

11.9.2009, kello 21.26: Julkaistu
9.12.2009, kello 11.19: Lisätty tieto julkisen hyväksikäyttömenetelmän olemassaolosta

Sivua päivitetty 09.12.2009   Tulostusversio Tulostusversio