Log ind
Kritisk: Mindre kritisk
Betydning: Sikkerhedsomgåelse
Afsløring af system-information
Afsløring af følsomme oplysninger
Hvor: Lokalt System
SA ID: SA17368
Berørt software:
Apple Macintosh OS X
Beskrivelse:
Apple har udgivet en opdatering til Mac OS X. Denne retter nogle sårbarheder og et sikkerhedsproblem, som kan udnyttes af ondsindede lokale brugere til at omgå visse sikkerhedsrestriktioner eller til at opnå kendskab til potentiel følsom information.
1) En fejl i "memberd" ved håndtering af ændringer til gruppe medlemsskaber kan udnyttes af ondsindede brugere til at tilgå filer eller andre ressourcer efter de er fjernet fra en gruppe. Dette skyldes at gruppe medlemsskabs ændringer ikke håndhæves med det samme i adgangskontrollen.
Sårbarheden er rapporteret i Mac OS X Server v10.4.2.
2) En fejl i Keychain adgangsprogrammet i håndteringen af automatisk password display timeouts kan udnyttes til at afsløre det password der vises. Dette skyldes at password displayet ikke skjules efter et timeout.
Sikkerhedsproblemet er rapporteret i Mac OS X v10.4.2 og Mac OS X Server v10.4.2.
3) Nogle fejl i "ifconf()" funktionen der benyttes til at forespørge netværksinterfaces og "atp_pack_bdsp()" funktionen der benyttes til appletalk kan udnyttes til at returnere data der inkluderer følsom information i ikke-initialiseret kernel hukommelse.
Yderligere information:
SA14959
SA15262
Sårbarhederne er rapporteret i Mac OS X v10.4.2 og Mac OS X Server v10.4.2.
Et problem i Software Update og et andet i visning af fil og gruppe rettigheder i Finder Get Info vinduet er også rettet.
Løsning:
Installér Mac OS X 10.4.3 opdateringen.
Mac OS X 10.4.2 Client:
SA17368
Berørt software:
Apple Macintosh OS X
Beskrivelse:
Apple har udgivet en opdatering til Mac OS X. Denne retter nogle sårbarheder og et sikkerhedsproblem, som kan udnyttes af ondsindede lokale brugere til at omgå visse sikkerhedsrestriktioner eller til at opnå kendskab til potentiel følsom information.
1) En fejl i "memberd" ved håndtering af ændringer til gruppe medlemsskaber kan udnyttes af ondsindede brugere til at tilgå filer eller andre ressourcer efter de er fjernet fra en gruppe. Dette skyldes at gruppe medlemsskabs ændringer ikke håndhæves med det samme i adgangskontrollen.
Sårbarheden er rapporteret i Mac OS X Server v10.4.2.
2) En fejl i Keychain adgangsprogrammet i håndteringen af automatisk password display timeouts kan udnyttes til at afsløre det password der vises. Dette skyldes at password displayet ikke skjules efter et timeout.
Sikkerhedsproblemet er rapporteret i Mac OS X v10.4.2 og Mac OS X Server v10.4.2.
3) Nogle fejl i "ifconf()" funktionen der benyttes til at forespørge netværksinterfaces og "atp_pack_bdsp()" funktionen der benyttes til appletalk kan udnyttes til at returnere data der inkluderer følsom information i ikke-initialiseret kernel hukommelse.
Yderligere information:
SA14959
SA15262
Sårbarhederne er rapporteret i Mac OS X v10.4.2 og Mac OS X Server v10.4.2.
Et problem i Software Update og et andet i visning af fil og gruppe rettigheder i Finder Get Info vinduet er også rettet.
Løsning:
Installér Mac OS X 10.4.3 opdateringen.
Mac OS X 10.4.2 Client:
http://www.apple.com/ (...)
Mac OS X 10.4, 10.4.1, 10.4.2 Client:
http://www.apple.com/ (...)
Mac OS X 10.4.2 Server:
http://www.apple.com/ (...)
Mac OS X 10.4 - 10.4.2 Server:
http://www.apple.com/ (...)
Rapporteret af / Kredit:
2) Eric Hall, DarkArt Consulting Services.
3) Ilja van Sprundel og Neil Archibald fra Suresec LTD, og Colin Pervical fra FreeBSD.
Forløb:
08-11-2005: Tilføjede link til original advisory. Opdaterede beskrivelse.
Relaterede Advisories:
Mac OS X Security Update retter flere sårbarheder Apple Mac OS X opdatering til Java Mac OS X sikkerhedsopdatering retter flere sårbarheder Apple Airport usikker associering Apple Mac OS X to sårbarheder Adobe Reader / Acrobat to sårbarheder Clam AntiVirus på Mac OS X rettighedseskalering Mac OS X sikkerhedsopdatering retter flere sårbarheder Mac OS X opdatering retter flere sårbarheder Apple QuickTime Quartz Composer afsløring af systeminformationLeveret af 
