偵測

Mac OS X Multiple Vulnerabilities (Security Update 2017-001

critical Nessus Plugin ID 99135

語系:

概要

遠端主機缺少可修正多個安全性弱點的 Mac OS X 更新。

說明

遠端主機執行的 Mac OS X 10.10.5 或 10.11.6 版缺少安全性更新。因此,受到多個弱點影響:- LibreSSL 元件中存在一個資訊洩漏弱點,這是因為在未正確設定 ECDSA 簽署 nonce 中的旗標以指明僅應跟隨持續時間程式碼路徑時會觸發 ECDSA 實作中的一個缺陷所致。未經驗證的遠端攻擊者可加以惡意利用,發動旁路快取時間攻擊,進而允許攻擊者復原模組反轉狀態序列和 ECDSA 私密金鑰。請注意,此弱點不會影響 Mac OS X 10.10.5。(CVE-2016-7056) - ImageIO 元件中存在一個整數溢位情形,這是因為不當驗證使用者提供的輸入所致。未經驗證的遠端攻擊者可加以惡意利用,誘騙使用者開啟特製的 JPEG 檔案,進而造成拒絕服務情形或執行任意程式碼。(CVE-2017-2432) - libxslt 元件中存在多個記憶體損毀問題,可允許未經驗證的遠端攻擊者造成拒絕服務情形或執行任意程式碼。(CVE-2017-2477) - transform.c 中 xsltAddTextString() 函式的 libxslt 元件存在一個整數溢位情形。未經驗證的遠端攻擊者可加以惡意利用,誘騙使用者開啟特製檔案,造成超出邊界寫入,甚或允許任意程式碼執行。(CVE-2017-5029)

解決方案

請安裝安全性更新 2017-001 或更新版本。

另請參閱

https://support.apple.com/en-us/HT207615

http://www.nessus.org/u?ddb4db4a

Plugin 詳細資訊

嚴重性: Critical

ID: 99135

檔案名稱: macosx_SecUpd2017-001.nasl

版本: 1.7

類型: local

代理程式: macosx

已發布: 2017/3/31

已更新: 2019/6/19

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2017-2477

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:apple:mac_os_x

必要的 KB 項目: Host/local_checks_enabled, Host/MacOSX/Version, Host/MacOSX/packages/boms

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2017/3/27

弱點發布日期: 2016/12/31

參考資訊

CVE: CVE-2016-4688, CVE-2016-7056, CVE-2017-2432, CVE-2017-2477, CVE-2017-5029

BID: 94572, 95375, 96767, 97137, 97303

APPLE-SA: APPLE-SA-2017-03-27-3