VRDA Feed
by
Vulnerability Response Decision Assistance Feed : Information for vulnerability impact analysis |
[ about VRDA Feed | JPCERT/CC ] | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Vulnerability Analysis Result (Revision No : 1) | [ Download XML ] | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
VRDA-100121-001 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Mac OS X Updates for Multiple Vulnerabilities | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
http://support.apple.com/kb/HT4004?viewlocale=ja_JP | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ここでは、セキュリティアップデート 2010-001 について説明します。このアップデートは、ソフトウェア・アップデート 環境設定、または サポートダウンロード からダウンロードしてインストールできます。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
About This Analysis Information |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Analysis Information Provider: |
JPCERT/CC |
First Published: |
2010-01-21 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Source Information Category: |
Advisory, Alert |
Last Updated: |
2010-01-21 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Affected Product Tags |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
cpe:/o:apple:mac_os_x (Apple Mac OS X) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Vulnerability Analysis Results |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Alternatives |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
References |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Common Vulnerabilities and Exposures (CVE) CVE-2010-0036 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Common Vulnerabilities and Exposures (CVE) CVE-2009-3553 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Use-after-free vulnerability in the abstract file-descriptor handlinginterface in the cupsdDoSelect function in scheduler/select.c in thescheduler in cupsd in CUPS 1.3.7 and 1.3.10 allows remote attackers tocause a denial of service (daemon crash or hang) via a clientdisconnection during listing of a large number of print jobs, relatedto improperly maintaining a reference count. NOTE: some of thesedetails are obtained from third party information. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Common Vulnerabilities and Exposures (CVE) CVE-2009-3794 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Heap-based buffer overflow in Adobe Flash Player before 10.0.42.34 andAdobe AIR before 1.5.3 allows remote attackers to execute arbitrarycode via crafted dimensions of JPEG data in an SWF file. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Common Vulnerabilities and Exposures (CVE) CVE-2009-3796 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Adobe Flash Player before 10.0.42.34 and Adobe AIR before 1.5.3 mightallow attackers to execute arbitrary code via unspecified vectors,related to a "data injection vulnerability." | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Common Vulnerabilities and Exposures (CVE) CVE-2009-3797 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Adobe Flash Player 10.x before 10.0.42.34 and Adobe AIR before 1.5.3might allow attackers to execute arbitrary code via unspecifiedvectors that trigger memory corruption. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Common Vulnerabilities and Exposures (CVE) CVE-2009-3798 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Adobe Flash Player before 10.0.42.34 and Adobe AIR before 1.5.3 mightallow attackers to execute arbitrary code via unspecified vectors thattrigger memory corruption. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Common Vulnerabilities and Exposures (CVE) CVE-2009-3799 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Integer overflow in the Verifier::parseExceptionHandlers function inAdobe Flash Player before 10.0.42.34 and Adobe AIR before 1.5.3 allowsremote attackers to execute arbitrary code via an SWF file with alarge exception_count value that triggers memory corruption, relatedto "generation of ActionScript exception handlers." | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Common Vulnerabilities and Exposures (CVE) CVE-2009-3800 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Multiple unspecified vulnerabilities in Adobe Flash Player before10.0.42.34 and Adobe AIR before 1.5.3 allow attackers to cause adenial of service (application crash) or possibly execute arbitrarycode via unknown vectors. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Common Vulnerabilities and Exposures (CVE) CVE-2009-3951 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Unspecified vulnerability in the Flash Player ActiveX control in AdobeFlash Player before 10.0.42.34 and Adobe AIR before 1.5.3 on Windowsallows remote attackers to obtain the names of local files via unknownvectors. NOTE: this vulnerability exists because of an incomplete fixfor CVE-2008-4820. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Common Vulnerabilities and Exposures (CVE) CVE-2009-2285 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Buffer underflow in the LZWDecodeCompat function in libtiff 3.8.2allows context-dependent attackers to cause a denial of service(crash) via a crafted TIFF image, a different vulnerability thanCVE-2008-2327. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Common Vulnerabilities and Exposures (CVE) CVE-2010-0037 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Common Vulnerabilities and Exposures (CVE) CVE-2009-3555 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
The TLS protocol, and the SSL protocol 3.0 and possibly earlier, asused in Microsoft Internet Information Services (IIS) 7.0, mod_ssl inthe Apache HTTP Server 2.2.14 and earlier, OpenSSL before 0.9.8l,GnuTLS 2.8.5 and earlier, Mozilla Network Security Services (NSS)3.12.4 and earlier, multiple Cisco products, and other products, doesnot properly associate renegotiation handshakes with an existingconnection, which allows man-in-the-middle attackers to insert datainto HTTPS sessions, and possibly other types of sessions protected byTLS or SSL, by sending an unauthenticated request that is processedretroactively by a server in a post-renegotiation context, related toa "plaintext injection" attack, aka the "Project Mogul" issue. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Copyright © 2010 JPCERT/CC All Rights Reserved. |