Video: (16 бит тому назад S03E10) Трудный путь Apple к Mac OS X (September 2024)
Apple fixade ett antal allvarliga sårbarheter i OS X, Safari-webbläsaren och en handfull tredjepartspaket som en del av en betydande uppdatering. Patcharna finns tillgängliga på Software Update och användare bör se till att korrigeringarna tillämpas omedelbart.
Uppdateringarna, som påverkar alla stödda versioner av OS X – Mountain Lion (10.8), Lion (10.7) och Snow Leopard (10.6) –och stängde flera exekveringsfel för fjärrkod i operativsystemet och Safari, säger Apple i sin rådgivande post i går. Patcharna behandlade också problem i QuickTimes och OS X-implementeringen av OpenSSL och Ruby. Rubinbuggarna utnyttjas för närvarande i naturen.
Flera sårbarheter har nyligen identifierats i Ruby on Rails, varav de allvarligaste kan leda till att angripare externt kör kod på system som kör Rails-applikationer. Apple adresserade åtta olika sårbarheter genom att uppdatera Ruby on Rails i OS X till version 2.3.18. Det här problemet kommer sannolikt att påverka OS X Lion eller OS X Mountain Lion-system som uppgraderades från Mac OS X 10.6.8 eller tidigare, säger Apple.
OS X fixar
Apple fixade flera exekveringsfel för exekvering av kod i operativsystemet. Angripare kan utnyttja en sådan brist i CoreAnimation-komponenten, där allt användaren måste göra är att bläddra till en skadlig URL-adress för att bli kompromissa. Ett annat fel i Playback-komponenten kan utnyttjas med en skadlig filmfil, sa Apple. Det finns fyra olika korrigeringar för QuickTime-fixering av exekveringsfel i fjärrkoder som kan utnyttjas av skadligt skapade MP3-, FPX-, QTIF- och andra filmfiler.
Ett annat allvarligt exekveringsfel för fjärrkod var i Directory Service-komponenten, men det påverkade endast användare med Snow Leopard-system som har aktiverat tjänsten. Directory Service spårar all information om användar- och gruppverifiering med olika plattformar, inklusive Active Directory, LDAP, AppleTalk och SMB-fildelning. Apple ersatte Diectory Service med Open Directory i Lion och Mountaion Lion.
Angripare kan utnyttja bristen genom att skicka ett meddelandet med skadligt innehåll över nätverket för att få katalogservern att krascha eller externt köra kod, säger Apple.
OpenSSL, Safari-problem
Apple fixade 13 problem i OpenSSL, varav en skulle göra det möjligt för angripare att starta CRIME-attacken, där en angripare kunde dekryptera SSL-skyddade sessioner. Komprimeringsattacken på TLS 1.0 utvecklades av säkerhetsforskarna Thai Duong och Juliano Rizzo.
Den nya Safari, version 6.0.5, fixade 23 distinkta sårbarheter för exekvering av fjärrkod och tre skript på flera webbplatser Problemen var alla relaterade till WebKit-motorn som driver webbläsaren.
"Det finns flera problem med korruption i minnet i WebKit, " sade Apple i sitt rådgivande.
Dessa problem utsätter Mac-användare för attacker för infektion efter surfning, och angriparna skulle kunna köra kod utanför webbläsaren och direkt i systemet utan att behöva godkännande av användaren. Skriptfel över hela webbplatsen gör det också möjligt för angripare att skapa skadliga webbplatser som innehåller element från legitima sidor för att lura användare att tro att dessa förfalskade webbplatser är pålitliga.
Få den uppdateringen
Användare som använder Apples programuppdatering får rätt uppdatering automatiskt. Användare som beslutar att göra det manuellt måste ta tag i OS X 10.8.4-uppdateringen (som inkluderar Safari 6.0.5) för Mountaion Lion och Security Update 2013-002 (som inte inkluderar Safari-uppdateringen) för Snow Leopard och Lion system. Observera att Snow Leopard inte får den nya Safari-versionen eftersom den fortfarande finns på Safari 5.
