Программа: Apple Macintosh OS X версии до 10.5.4
Опасность: Высокая
Наличие эксплоита: Нет
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности, произвести спуфинг атаку и XSS нападение, повысить свои привилегии, вызвать отказ в обслуживании и скомпрометировать целевую систему.
1. Уязвимость существует из-за ошибки в Alias Manager при обработке данных о монтировании AFP тома в структуре псевдонимов данных. Злоумышленник может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
2. Уязвимость существует из-за того, что система не предупреждает пользователя перед открытием небезопасных типов файлов (.xht и .xhtm).
3. Уязвимость форматной строки обнаружена в c++filt. Злоумышленник может передать уязвимому приложению специально сформированную строку и выполнить произвольный код на целевой системе.
4. Уязвимость существует из-за ошибки в Dock, которая позволяет локальному пользователю с физическим доступом к системе обойти механизм блокировки дисплея при включенной опции «Expose hot corners».
5. Ошибка состояния операции обнаружена в Launch Services при проверке символических ссылок. Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный код на целевой системе. Для успешной эксплуатации уязвимости опция "Open 'safe' files" должна быть включена в браузере Safari.
7. Несколько уязвимостей существуют из-за ошибок в Ruby, которые позволяют удаленному пользователю получить доступ к важным данным, вызвать отказ в обслуживании и скомпрометировать целевую систему.
8. Уязвимость существует из-за ошибки в SMB File Server, которая позволяет удаленному пользователю скомпрометировать целевую систему.
9. Уязвимость существует из-за того, что система позволяет сохранять файлы в директории User Template. Злоумышленник может поместить специально сформированный файл в директорию User Template и выполнить его с привилегиями пользователя, для которого был создан домашний каталог с использованием директории User Template.
10. Исправлены множественные уязвимости в Apache Tomcat.
11. Уязвимость существует из-за уязвимости в WebKit, которая позволяет удаленному пользователю скомпрометировать целевую систему.
URL производителя: www.apple.com/macosx/
Решение: Установите последнюю версию 10.5.4 или исправление 2008-004 с сайта производителя.
Security Update 2008-004 (PPC):
http://www.apple.com/support/downloads/securityupdate2008004ppc.html
Security Update 2008-004 (Intel):
http://www.apple.com/support/downloads/securityupdate2008004intel.html
Security Update 2008-004 Server (PPC):
http://www.apple.com/support/downloads/securityupdate2008004serverppc.html
Security Update 2008-004 Server (Intel):
http://www.apple.com/support/downloads/securityupdate2008004serverintel.html
Mac OS X 10.5.4 Combo Update:
http://www.apple.com/support/downloads/macosx1054comboupdate.html
Mac OS X 10.5.4 Update:
http://www.apple.com/support/downloads/macosx1054update.html
Mac OS X Server 10.5.4:
http://www.apple.com/support/downloads/macosxserver1054.html
Mac OS X Server Combo 10.5.4:
http://www.apple.com/support/downloads/macosxservercombo1054.html
Источники:
About the security content of Security Update 2008-004 and Mac OS X 10.5.4 | 
