Mac OS X Multiple Vulnerabilities (Security Update 2017-001
critical Nessus 插件 ID 99135
语言:
简介
远程主机缺少一个用于修复多种安全漏洞的 Mac OS X 更新。描述
远程主机运行的 Mac OS X 10.10.5 或 10.11.6 版缺少安全更新。因而会受到多个漏洞的影响:- 由于 ECDSA 的实施有缺陷,LibreSSL 组件中存在信息泄露漏洞,未正确在 ECDSA 签名随机数中设定标志,以指示仅遵循常量时间代码路径时,就会触发漏洞。未经身份验证的远程攻击者可利用此问题,发动边信道缓存时序攻击,允许攻击者恢复模逆运算状态序列和 ECDSA 私人秘钥。请注意,此漏洞对 Mac OS X 10.10.5 没有影响。(CVE-2016-7056) - 由于未正确验证用户提供的输入,ImageIO 组件中存在整数溢出情况。未经身份验证的远程攻击者可利用此问题,通过诱使用户打开特制的 JPEG 文件,造成拒绝服务情况或执行任意代码。(CVE-2017-2432) - libxslt 组件中存在多个内存损坏问题,允许未经身份验证的远程攻击者造成拒绝服务情况或执行任意代码。(CVE-2017-2477) - transform.c 中 xsltAddTextString() 函数的 libxslt 组件存在整数溢出情况。未经身份验证的远程攻击者可利用此问题,通过诱使用户打开特制文件,造成越界写入,还可能允许执行任意代码。(CVE-2017-5029)解决方案
请安装安全更新 2017-001 或更高版本。另见
插件详情
严重性: Critical
ID: 99135
文件名: macosx_SecUpd2017-001.nasl
版本: 1.7
类型: local
代理: macosx
发布时间: 2017/3/31
最近更新时间: 2019/6/19
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2017-2477
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:apple:mac_os_x
必需的 KB 项: Host/local_checks_enabled, Host/MacOSX/Version, Host/MacOSX/packages/boms
易利用性: No known exploits are available
补丁发布日期: 2017/3/27
漏洞发布日期: 2016/12/31
参考资料信息
CVE: CVE-2016-4688, CVE-2016-7056, CVE-2017-2432, CVE-2017-2477, CVE-2017-5029
BID: 94572, 95375, 96767, 97137, 97303
APPLE-SA: APPLE-SA-2017-03-27-3