CVSS: 6.4EPSS: 0%CPEs: 1EXPL: 1CVE-2014-2234
https://notcve.org/view.php?id=CVE-2014-2234
A certain Apple patch for OpenSSL in Apple OS X 10.9.2 and earlier uses a Trust Evaluation Agent (TEA) feature without terminating certain TLS/SSL handshakes as specified in the SSL_CTX_set_verify callback function's documentation, which allows remote attackers to bypass extra verification within a custom application via a crafted certificate chain that is acceptable to TEA but not acceptable to that application. Cierto parche de Apple para OpenSSL en Apple OS X 10.9.2 y anteriores utiliza una funcionalidad Trust Evaluation Agent (TEA) sin terminar ciertas negociaciones TLS/SSL según lo especificado en la documentación de la función SSL_CTX_set_verify callback, lo que permite a atacantes remotos evadir verificación extra dentro de una aplicación personalizada a través de una cadena de certificación manipulada que es aceptable para TEA pero no aceptable para esa aplicación. • https://hynek.me/articles/apple-openssl-verification-surprises • CWE-20: Improper Input Validation •
CVSS: 4.6EPSS: 0%CPEs: 21EXPL: 0CVE-2014-1265
https://notcve.org/view.php?id=CVE-2014-1265
The systemsetup program in the Date and Time subsystem in Apple OS X before 10.9.2 allows local users to bypass intended access restrictions by changing the current time on the system clock. El programa systemsetup en el subsistema de fecha y hora en Apple OS X anterior a 10.9.2 permite a usuarios locales evadir restricciones de acceso mediante el cambio la hora actual en el reloj del sistema. • http://support.apple.com/kb/HT6150 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2014-1262
https://notcve.org/view.php?id=CVE-2014-1262
Apple Type Services (ATS) in Apple OS X before 10.9.2 allows attackers to bypass the App Sandbox protection mechanism via crafted Mach messages that trigger memory corruption. Apple Type Services (ATS) en Apple OS X anterior a 10.9.2 permite a atacantes evadir el mecanismo de protección App Sandbox a través de mensajes Mach manipulados que provocan una corrupción de memoria. • http://support.apple.com/kb/HT6150 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 3.3EPSS: 0%CPEs: 2EXPL: 0CVE-2014-1264
https://notcve.org/view.php?id=CVE-2014-1264
Finder in Apple OS X before 10.9.2 does not ensure ACL integrity after the viewing of file ACL information, which allows local users to bypass intended access restrictions in opportunistic circumstances via standard filesystem operations on a file with a damaged ACL. Finder en Apple OS X anterior a 10.9.2 no asegura la integridad ACL después de la visualización de información de archivo ACL, lo que permite a usuarios locales evadir restricciones de acceso en circunstancias oportunistas a través de operaciones estándar de sistemas de archivos en un archivo con una ACL dañada. • http://support.apple.com/kb/HT6150 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 2CVE-2014-1263
https://notcve.org/view.php?id=CVE-2014-1263
curl and libcurl 7.27.0 through 7.35.0, when using the SecureTransport/Darwinssl backend, as used in in Apple OS X 10.9.x before 10.9.2, does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate when accessing a URL that uses a numerical IP address, which allows man-in-the-middle attackers to spoof servers via an arbitrary valid certificate. curl en Apple OS X 10.9.x anterior a 10.9.2 no verifica los certificados X.509 de servidores HTTPS que son accedidos mediante el uso de una dirección IP numérica, lo que permite a atacantes man-in-the-middle falsificar servidores a través de un certificado manipulado. • http://curl.haxx.se/docs/adv_20140326C.html http://secunia.com/advisories/57836 http://secunia.com/advisories/57966 http://secunia.com/advisories/57968 http://support.apple.com/kb/HT6150 http://twitter.com/agl__/statuses/437029812046422016 http://twitter.com/okoeroo/statuses/437272014043496449 http://www.getchef.com/blog/2014/04/09/chef-server-11-0-12-release http://www.getchef.com/blog/2014/04/09/enterprise-chef-1-4-9-release http://www.getchef.com/blog/2014/ • CWE-310: Cryptographic Issues •