Apple OS X 多個漏洞
最後更新
2015年06月23日
發佈日期:
2015年06月22日
921
觀看次數
風險: 高度風險
類型: 操作系統 - Mac
在蘋果 OS X 發現多個漏洞,遠端使用者可利用漏洞,於某些情況下,在目標使用者的系統取得權限提升。
遠端使用者可創建一個應用程式,當目標使用者安裝此程式,將能訪問目標應用程式的鑰匙串、刪除該鑰匙串和特製一個全新而擁有與已刪除的鑰匙串相同屬性的鑰匙串。然後,當目標用戶為此應用程式更新其使用者名稱及密碼時,遠端使用者的應用程式可由新的鑰匙串中取得已更新的使用者名稱及密碼。
作業系統不會提供認證給 WebSockets。遠端使用者可創建一個應用程式,當目標用戶安裝並載入此程式時,將能訪問任意的 WebSocket 埠和使用此埠從目標應用程式取得敏感資料。
遠端使用者可創建一個包含幫助應用的應用程式 (該幫助應用擁有現存應用程式的特製 bundle ID)。當目標用戶執行 (遠端使用者的) 應用程式時,作業系統將賦予此應用程式的訪問權到目標應用程式的存取控制列表,及目標應用程式的沙箱。
影響
- 權限提升
- 繞過保安限制
- 資料洩露
受影響之系統或技術
- 10.10.3 及之前版本
解決方案
- 注意:此漏洞暫時沒有相關的修補程式。
漏洞識別碼
- 暫無 CVE 可提供
資料來源
相關連結
分享至