Apple Mac OS X 2008—007 更新修复多个安全漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2008-10-22
Apple Mac OS X 2008—007 更新修复多个安全漏洞 受影响系统:
Apple Mac OS X 10.5.x
Apple Mac OS X 10.4.x
Apple MacOS X Server 10.5.x
Apple MacOS X Server 10.4.x

不受影响系统:
Apple Mac OS X 10.5.5
Apple Mac OS X 10.4.11
Apple MacOS X Server 10.5.5
Apple MacOS X Server 10.4.11

描述:
Mac OS X是苹果家族机器所使用的操作系统。

Apple 2008-007安全更新修复了Mac OS X中的多个安全漏洞,本地或远程安全者可能利用这些漏洞造成多种威胁。

CVE-2008-3642
在处理内嵌了ICC配置文件的图形时存在缓冲区溢出,打开恶意的图形文件可能导致应用程序意外终止或执行任意指令。

CVE-2008-3641
惠普图形语言(HPGL)过滤器中存在访问检查错误,受控数据可能导致覆盖任意内存。如果启用了打印机共享的话,远程安全者就可以以lp用户的权限执行任意代码;如果没有启用打印机共享,本地用户可以获得权限提升。 

CVE-2008-3643
Finder中存在错误发现问题,桌面上恶意的文件可能导致Finder在生成图标时意外终止,Finder会持续重启和终止。在删除这个文件之前,无法通过Finder的用户接口访问用户帐号。 

CVE-2008-3645
configd的EAPOLController插件的本地IPC组件中存在堆溢出,允许本地用户获得系统权限。 

CVE-2008-3646
Postfix配置文件中存在漏洞,在本地命令行工具发送邮件后的一分钟时间内,可以从网络访问postfix。在这个期间内,连接到SMTP端口的远程实体可以向本地用户发送邮件,或使用SMTP协议。这个漏洞不会导致系统成为开放的邮件中继。 

CVE-2008-3647
PSNormalizer处理PostScript文件的boundingbox标注时存在缓冲区溢出,查看了特制的PostScript文件可能导致应用程序意外终止或执行任意代码。

CVE-2008-4211
QuickLook处理Microsoft Excel文件中列时的符号错误可能导致越界内存访问,下载或查看恶意的Microsoft Excel文件可能导致应用程序意外终止或执行任意代码。

CVE-2008-4212
配置文件hosts.equiv的用户手册声称项不适用于root,但rlogind中的实现错误导致这些项也适用于root。

CVE-2008-4214
脚本编辑器应用在打开应用程序脚本词典时存在不安全的文件操作问题,本地用户可以导致将脚本词典写入到运行应用程序用户可访问的任意路径。

CVE-2008-4215
weblog服务器中存在未检查的错误情况,向weblog张贴的访问控制列表添加多个短名称可能导致Weblog服务器不会强制访问控制。

厂商补丁:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.apple.com/support/downloads/