Mac OS X 10.10.x < 10.10.3 多种漏洞 (FREAK)

critical Nessus 插件 ID 82699
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程主机缺少一个用于修复多种安全漏洞的 Mac OS X 更新。

描述

远程主机运行的 Mac OS X 10.10.x 版低于 10.10.3。因此,它受到以下组件中多种漏洞的影响:

- Admin Framework
- Apache
- ATS
- Certificate Trust Policy
- CFNetwork HTTPProtocol
- CFNetwork Session
- CFURL
- CoreAnimation
- FontParser
- Graphics Driver
- Hypervisor
- ImageIO
- IOHIDFamily
- Kernel
- LaunchServices
- libnetcore
- ntp
- Open Directory Client
- OpenLDAP
- OpenSSL
- PHP
- QuickLook
- SceneKit
- ScreenSharing
- Security - Code SIgning
- UniformTypeIdentifiers
- WebKit

请注意,如果成功利用最严重的问题则可能导致执行任意代码。

解决方案

升级到 Mac OS X 10.10.3 或更高版本。

另见

http://support.apple.com/en-us/HT204659

http://www.nessus.org/u?cf90c4cb

插件详情

严重性: Critical

ID: 82699

文件名: macosx_10_10_3.nasl

版本: 1.20

类型: combined

代理: macosx

发布时间: 2015/4/10

最近更新时间: 2019/11/22

依存关系: ssh_get_info.nasl, os_fingerprint.nasl

风险信息

CVSS 分数来源: CVE-2015-1132

VPR

风险因素: Critical

分数: 9.2

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:H/RL:OF/RC:C

漏洞信息

CPE: cpe:/o:apple:mac_os_x

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/4/9

漏洞发布日期: 2015/4/9

可利用的方式

CANVAS (CANVAS)

Core Impact

Metasploit (Apple OS X Rootpipe Privilege Escalation)

参考资料信息

CVE: CVE-2013-0118, CVE-2013-5704, CVE-2013-6438, CVE-2013-6712, CVE-2014-0098, CVE-2014-0117, CVE-2014-0118, CVE-2014-0207, CVE-2014-0226, CVE-2014-0231, CVE-2014-0237, CVE-2014-0238, CVE-2014-2497, CVE-2014-3478, CVE-2014-3479, CVE-2014-3480, CVE-2014-3487, CVE-2014-3523, CVE-2014-3538, CVE-2014-3569, CVE-2014-3570, CVE-2014-3571, CVE-2014-3572, CVE-2014-3587, CVE-2014-3597, CVE-2014-3668, CVE-2014-3669, CVE-2014-3670, CVE-2014-3710, CVE-2014-3981, CVE-2014-4049, CVE-2014-4380, CVE-2014-4404, CVE-2014-4405, CVE-2014-4670, CVE-2014-4698, CVE-2014-5120, CVE-2014-8275, CVE-2014-8830, CVE-2014-9298, CVE-2015-0204, CVE-2015-1069, CVE-2015-1088, CVE-2015-1089, CVE-2015-1091, CVE-2015-1093, CVE-2015-1095, CVE-2015-1096, CVE-2015-1098, CVE-2015-1099, CVE-2015-1100, CVE-2015-1101, CVE-2015-1102, CVE-2015-1103, CVE-2015-1104, CVE-2015-1105, CVE-2015-1117, CVE-2015-1118, CVE-2015-1130, CVE-2015-1131, CVE-2015-1132, CVE-2015-1133, CVE-2015-1134, CVE-2015-1135, CVE-2015-1136, CVE-2015-1137, CVE-2015-1138, CVE-2015-1139, CVE-2015-1140, CVE-2015-1141, CVE-2015-1142, CVE-2015-1143, CVE-2015-1144, CVE-2015-1145, CVE-2015-1146, CVE-2015-1147, CVE-2015-1148, CVE-2015-1160, CVE-2015-1545, CVE-2015-1546

BID: 58128, 64018, 66233, 66303, 66550, 67759, 67765, 67837, 68007, 68120, 68238, 68239, 68241, 68243, 68348, 68511, 68513, 68678, 68740, 68742, 68745, 68747, 69322, 69325, 69375, 69938, 69942, 69947, 70611, 70665, 70666, 70807, 71934, 71935, 71936, 71937, 71939, 71942, 72328, 72519, 72584, 73176, 73981, 73982, 73984

CERT: 243585

APPLE-SA: APPLE-SA-2015-04-08-2