安全研究

安全漏洞
Apple Mac OS X Help协议远程代码执行漏洞

发布日期:2004-05-17
更新日期:2004-05-25

受影响系统:
Apple MacOS X Server 10.3.3
Apple MacOS X Server 10.3.2
Apple MacOS X Server 10.3.1
Apple MacOS X Server 10.3
Apple MacOS X 10.3.3
Apple MacOS X 10.3.2
Apple MacOS X 10.3.1
Apple MacOS X 10.3
描述:
BUGTRAQ  ID: 10356
CVE(CAN) ID: CVE-2004-0486

Mac OS X是一款使用在Mac机器上的操作系统,基于BSD系统。

Mac OS X help应用程序的'help:'协议实现存在问题,远程攻击者可以利用这个漏洞以目前进程权限在系统上执行任意命令。

'help:'协议能够远程通过Safari web浏览器调用,由于Mac OS X对'help:'协议处理实现存在问题,允许攻击者构建恶意链接,诱使用户访问,并通过help应用程序执行脚本代码。不过根据报告此执行任意代码需要用户比较少的交互。成功利用此漏洞可以未授权访问受此漏洞影响的系统。

<*来源:Troels Bay (troelsbay@troelsbay.dk
  *>

建议:
厂商补丁:

Apple
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.apple.com

浏览次数:2687
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障