xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Apple MacOS iDisk Mail.APP默认配置密码泄露漏洞


发布时间:2002-07-27
更新时间:2002-07-27
严重程度:
威胁程度:口令恢复
错误类型:配置错误
利用方式:服务器模式

BUGTRAQ ID:5303

受影响系统
Apple MacOS X 10.0
Apple MacOS X 10.0.1
Apple MacOS X 10.0.2
Apple MacOS X 10.0.3
Apple MacOS X 10.0.4
Apple MacOS X 10.1
Apple MacOS X 10.1
Apple MacOS X 10.1.1
Apple MacOS X 10.1.2
Apple MacOS X 10.1.3
Apple MacOS X 10.1.4
Apple MacOS X 10.1.5
详细描述
MacOS包含的部分工具存在配置相关漏洞,可以泄露iDisk验证信息,攻击者可以通过嗅探客户端系统和mac.com服务的网络通信而获得。

iDisk服务密码也被Mac.com服务使用,使用2种服务的用户可以使用Mail.app从Mac.com获得邮件,iDisk服务的验证信息使用HTTPS通过WebDAV发送,以确保客户端和服务器端通信被加密,但是,Mail.app看起来默认没有使用同样的安全准则进行通信,当Mail.app配置成使用SSL与MAIL服务器通信的时候,这个SSL加密选项在Mail.app默认配置中没有使用。

攻击者可以利用这个漏洞通过网络嗅探获得验证信息。

测试代码


解决方案
使用SSL选项进行通信。

相关信息
Randal L. Schwartz <merlyn@stonehenge.com>.
参考:http://online.securityfocus.com/archive/1/284087
http://online.securityfocus.com/archive/1/284144
http://online.securityfocus.com/archive/1/284133
http://online.securityfocus.com/archive/1/284140
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved