发布日期：2010-08-24
更新日期：2010-08-27

受影响系统：

Apple Mac OS X 10.6.4
Apple Mac OS X 10.5.8
Apple MacOS X Server 10.6
Apple MacOS X Server 10.5

描述：

---

CVE ID: CVE-2010-1800,CVE-2010-1801,CVE-2010-1802,CVE-2010-1808

Mac OS X是苹果家族机器所使用的操作系统。

Apple 2010-002安全更新修复了Mac OS X中的多个安全漏洞，本地或远程攻击者可能利用这些漏洞导致拒绝服务、读取敏感信息或执行任意代码。

CVE-2010-1808

Apple Type服务处理嵌入式字体的方式存在栈溢出，查看或下载恶意文档就会导致执行任意代码。

CVE-2010-1800

CFNetwork允许匿名TLS/SSL连接，这允许中间人攻击者重新定向连接并拦截用户凭据或其他敏感信息。

CVE-2010-1801

CoreGraphics处理PDF文件的方式存在堆溢出漏洞，打开特制的PDF文件可能导致应用意外崩溃或执行任意代码。

CVE-2010-1802

在处理证书主机名称时存在安全漏洞。如果主机名包含有多于三个组件，就不会比较最后一个字符；如果主机名中包含有三个组件，则仅会检查最后一个字符。例如，如果特权网络位置上的攻击者可以获得www.example.con的证书，就可以扮演为www.example.com。

<*来源：Peter Speck
        Rodrigo Rubira Branco （rodrigo@risesecurity.org）
  
  链接：http://secunia.com/advisories/28136/
        http://support.apple.com/kb/HT4312
        http://marc.info/?l=full-disclosure&m=128282581805730&w=2
*>

建议：

---

厂商补丁：

Apple
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.apple.com

浏览次数：2263
严重程度：0（网友投票）