2012年5月30日 星期三

弱點通告:Apple Mac OS X 存在暴露機敏資訊弱點(101/05/30)


弱點通告:Apple Mac OS X 存在暴露機敏資訊弱點(101/05/30)

風險等級:高度威脅  

摘  要:Apple Mac OS X 存在暴露機敏資訊弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。
目前已知會受到影響的版本為 Apple Mac OS X Lion 10.7.3(含)之前的版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。
       
影響系統:Apple Mac OS X Lion 10.7.3 (含)之前的版本  
       
解決辦法:手動下載安裝: Apple Mac OS X Lion 10.7.4 (含)之後的版本
       
細節描述:Apple 近日對Apple Mac OS X 發布暴露機敏資訊弱點,該弱點起因於 (1)在核心處理供休眠使用的睡眠映像檔時,即使已啟用FileVault ,還是會在磁碟上留下未加密資料的問題。 (2) blued 初始化例程的競賽條件(race condition) 問題,可以被本地用戶用來獲得更高的權限。 (3) 存在ImageIO 、HFS 、curl 、Kernel 、libarchive 、libxml 、PHP 、Ruby 、Samba 和X11 的一些漏洞。 (4) 處理網路訊息時,目錄伺服器所存在的錯誤可能暴露記憶體的資訊。 (5) 處理X.509 憑證時,libsecurity 元件的錯誤,可用來參考未初始化的記憶體,並執行任意程式碼。 (6) 處理訪客用戶登錄時的競賽條件問題,可以無密碼的登錄到其他帳戶。以及其他未詳列的弱點。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。  
       
參考資訊:AppleSecunia

轉載自《HiNet全球資安預警情報網》