Обновление системы безопасности 2010-006 рекомендуется для установки всем пользователям. Оно направлено на повышение уровня безопасности Mac OS X.

Информацию о данном обновлении см. на веб-сайте:http://support.apple.com/kb/HT1222?viewlocale=ru_RU.

Программа: Apple Safari версии до 4.0.5

Опасность: Высокая

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, получить доступ к важным данным и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки проверки границ данных в ImageIO. Удаленный пользователь может с помощью специально сформированного TIFF изображения вызвать потерю значимости буфера и выполнить произвольный код на целевой системе. Подробное описание уязвимости:
www.securitylab.ru/vulnerability/381759.php (далее …)

Обнаруженные уязвимости позволяют удаленному пользователю произвести неавторизованное изменение данных, получить доступ к важным данным, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки проверки границ данных в CoreAudio. Удаленный пользователь может с помощью специально сформированного mp4 аудио файла вызвать переполнение буфера и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки в CUPS. Удаленный пользователь может вызвать отказ в обслуживании приложения.

3. Уязвимость существует из-за множественных ошибок в Flash Player плагине. Удаленный пользователь может получить доступ к важным данным и скомпрометировать целевую систему.

4. Уязвимость существует из-за ошибки в ImageIO. Удаленный пользователь может вызвать отказ в обслуживании и скомпрометировать целевую систему.

5. Уязвимость существует из-за ошибки проверки границ данных в Image RAW. Удаленный пользователь может с помощью специально сформированного DNG изображения вызвать переполнение буфера и выполнить произвольный код на целевой системе.

6. Уязвимость существует из-за ошибки в OpenSSL.

Решение: Установите исправление 2010-001 с сайта производителя.

Apple Safari версии до 4.0.2
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке родительских и верхних объектов в компоненте WebKit. Удаленный пользователь может с помощью специально сформированного сайта выполнить произвольный код сценария в браузере жертвы в контексте безопасности другого сайта.

2. Уязвимость существует из-за ошибки в компоненте WebKit при обработке числовых ссылок. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе.

Решение: Установите последнюю версию 4.0.2 с сайта производителя.

Источник: www.securitylab.ru

Специалисты Apple работают над устранением уязвимости в аппарате iPhone, воспользовавшись которой атакующий может удаленно установить и запустить запрещенный программный код с полным доступом к телефону.

На конференции SyScan в Сингапуре исследователь безопасности Чарли Миллер (Charlie Miller) рассказал об уязвимости, обнаруженной во всех семействах смартфонов iPhone. Сославшись на соглашение с Apple эксперт не стал раскрывать детали. Однако известно, что для проведения атаки, хакеру необходимо всего лишь отправить SMS-сообщение, содержащее специальную последовательность символов, которую iPhone обработает и станет жертвой злоумышленников.

Данная уязвимость предоставляет злоумышленнику возможность идентифицировать местоположение телефона посредством GPS, подслушивать разговоры через микрофон, или задействовать устройство в ботнетах и ddos-атаках. Apple планирует закрыть брешь до конца месяца, а точнее, до проведения конференции Black Hat USA в Лас-Вегасе, где Миллер выступит с детальным докладом по этой теме.

Источник: securitylab.ru