Apple Mac OS X Help协议远程代码执行漏洞

漏洞信息详情

Apple Mac OS X Help协议远程代码执行漏洞

• CNNVD编号：CNNVD-200407-027
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-0486
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2004-05-17
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  apple
• 漏洞来源：
  Troels Bay※ troels…

Mac OS X是一款使用在Mac机器上的操作系统，基于BSD系统。
Mac OS X help应用程序的\’\’help：\’\’协议实现存在问题，远程攻击者可以利用这个漏洞以目前进程权限在系统上执行任意命令。
\’\’help：\’\’协议能够远程通过Safari web浏览器调用，由于Mac OS X对\’\’help：\’\’协议处理实现存在问题，允许攻击者构建恶意链接，诱使用户访问，并通过help应用程序执行脚本代码。不过根据报告此执行任意代码需要用户比较少的交互。成功利用此漏洞可以未授权访问受此漏洞影响的系统。

厂商补丁：
Apple
—–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.apple.com” target=”_blank”>
http://www.apple.com

来源:US-CERT Vulnerability Note: VU#578798
名称: VU#578798
链接:http://www.kb.cert.org/vuls/id/578798

来源: BID
名称: 10356
链接:http://www.securityfocus.com/bid/10356

来源: SECUNIA
名称: 11622
链接:http://secunia.com/advisories/11622/

来源: XF
名称: macos-runscript-code-execution(16166)
链接:http://xforce.iss.net/xforce/xfdb/16166

来源: www.fundisom.com
链接:http://www.fundisom.com/owned/warning

来源: APPLE
名称: APPLE-SA-2004-05-21
链接:http://lists.apple.com/mhonarc/security-announce/msg00053.html

来源: OSVDB
名称: 6184
链接:http://www.osvdb.org/6184

来源: SECTRACK
名称: 1010167
链接:http://securitytracker.com/id?1010167

来源: FULLDISC
名称: 20040516 Vuln. MacOSX/Safari: Remote help-call, execute scripts
链接:http://archives.neohapsis.com/archives/fulldisclosure/2004-05/0837.html