Эксперты по информационной безопасности обнаружили множественные уязвимости в операционной системе Apple Macintosh OS. X. Они позволяют удаленному пользователю получить доступ к важным данным, обойти ограничения безопасности, вызвать отказ в обслуживании и выполнить произвольный код на целевой системе. Ошибка в AppKit framework позволяет приложению получить символы, введенные в защищенное поле формы в процессе сессии окна. Уязвимость существует из-за ошибки в AppKit и ImageIO framework при обработке GIF- и TIFF-изображений. Удаленный пользователь может выполнить произвольный код на целевой системе.
Ошибка проверки границ данных существует в BOM-компоненте при обработке архивов. Удаленный пользователь может выполнить произвольный код на целевой системе. Уязвимость существует из-за недостаточной проверки входных данных в BOM-компоненте. Удаленный пользователь может с помощью специально сформированного архива записать произвольные файлы на систему за пределами указанной директории.
Целочисленное переполнение существует в компоненте CFNetwork при обработке chunked transfer encoding. Злоумышленник может заманить целевого пользователя на злонамеренный сайт и выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки в ClamAV при обработке определенных почтовых сообщений. Удаленный пользователь может выполнить произвольный код на целевой системе.
Уязвимость существует из-за ошибки в компоненте CoreFoundation. Удаленный пользователь может выполнить произвольный код на целевой системе. Целочисленное переполнение существует в API «CFStringGetFileSystemRepresentation()». Удаленный пользователь может выполнить произвольный код на целевой системе.
Ошибка в компоненте CoreGraphics позволяет приложению получить символы, введенные в защищенное поле формы в процессе сессии окна, если включена опция «Enable access for assistive devices». Ошибка обнаружена в Finder при обработке элементов Internet Location. Злоумышленник может указать тип Internet Location, отличный от используемой схемы URL, и выполнить произвольный код при запуске элемента Internet Location.
Ошибка проверки границы данных обнаружена в компоненте FTPServer при обработке имени файла. Удаленный пользователь может вызвать переполнение буфера и выполнить произвольный код на целевой системе.
Различные ошибки обнаружены в Flash Player. Удаленный пользователь может с помощью специально сформированного Flash-файла выполнить произвольный код на целевой системе.
Целочисленное переполнение обнаружено в ImageIO framework при обработке JPEG-изображений. Удаленный пользователь может вызвать отказ в обслуживании приложения или выполнить произвольный код на целевой системе.
Ошибка в компоненте Keychain позволяет приложению использовать элементы Keychain, даже если Keychain отключен. Ошибка в компоненте LaunchServices при обработке длинных расширений файлов может позволить злоумышленнику обойти ограничения безопасности утилиты Download Validation.
Ошибка проверки границ данных обнаружена в библиотеке libcurl при обработке определенных URL. Удаленный пользователь может выполнить произвольный код на целевой системе. Целочисленное переполнение обнаружено в компоненте Mail. Удаленный пользователь может с помощью специально сформированного сообщения, содержащего MacMIME-инкапсулированное вложение, выполнить произвольный код на целевой системе.
Уязвимость существует в компоненте Mail при обработке данных цвета в e-mail-сообщении. Удаленный пользователь может выполнить произвольный код на целевой системе. Ошибка дизайна в MySQL Manager может позволить локальному пользователю получить доступ к базе данных с пустым паролем.
Ошибка проверки границ данных существует в компоненте Preview. Злоумышленник может вызвать переполнение стека, при переходе в специально сформированную иерархию директорий, и выполнить произвольный код на целевой системе. Ошибка проверки границ данных существует при обработке font information и image data в PICT-изображениях. Удаленный пользователь может с помощью специально сформированного PICT-изображения вызвать переполнение стека или переполнение кучи и выполнить произвольный код на целевой системе.
Разыменование нулевого указателя обнаружено в QuickTime Streaming Server при обработке QuickTime-фильмов. Удаленный пользователь может аварийно завершить работу приложения. Ошибка проверки границ данных существует в QuickTime Streaming Server при обработке RTSP-запросов. Удаленный пользователь может вызвать отказ в обслуживании или выполнить произвольный код на целевой системе.
Уязвимость существует в Ruby. Злоумышленник может обойти ограничения безопасности. Уязвимость существует в браузере Safari при обработке архивов, содержащих символические ссылки.
Для использования уязвимостей нет эксплойта. Для решения проблемы установите исправление с сайта производителя, сообщил Securitylab.
