Koti Securitywatch Apple korjaa vakavat puutteet, joista et tiennyt os x: ssä

Apple korjaa vakavat puutteet, joista et tiennyt os x: ssä

Video: MacOS Big Sur review (Marraskuu 2024)

Video: MacOS Big Sur review (Marraskuu 2024)
Anonim

Apple korjaa useita vakavia haavoittuvuuksia OS X: ssä, Safari-selaimessa ja kourallisessa kolmannen osapuolen paketissa osana merkittävää päivitystä. Korjaukset ovat saatavilla ohjelmistopäivityksessä, ja käyttäjien tulee varmistaa, että korjaukset otetaan käyttöön heti.

Päivitykset, jotka vaikuttavat kaikkiin OS X: n - Mountain Lion (10.8), Lion (10.7) ja Snow Leopard (10.6) tuettuihin versioihin - ja sulkivat useita etäkoodin suorittamisvirheitä käyttöjärjestelmässä ja Safarissa, Apple sanoi eilen julkaistussa suosituksessa.. Laastarit koskivat myös QuickTimesin ongelmia sekä OpenSSL: n ja Rubyn OS X: n toteutusta. Ruby-bugeja käytetään parhaillaan luonnossa.

Ruby on Rails -yrityksessä on äskettäin havaittu useita haavoittuvuuksia, joista vakavin voi johtaa hyökkääjiin, jotka suorittavat koodin etäkäytössä järjestelmissä, joissa Rails-sovelluksia käytetään. Apple korjaa kahdeksan erillistä haavoittuvuutta päivittämällä OS X: n Ruby on Rails -versioon versioon 2.3.18. Tämä ongelma todennäköisesti vaikuttaa OS X Lion- tai OS X Mountain Lion -järjestelmiin, jotka on päivitetty Mac OS X 10.6.8: sta tai aiemmasta, Apple sanoi.

OS X -korjaukset

Apple korjaa useita etäkoodin suorittamisvirheitä käyttöjärjestelmässä. Hyökkääjät voisivat hyödyntää yhtä tällaista CoreAnimation-komponentin virhettä, jossa käyttäjän on vain selattava haitallisesti muotoiltua URL-osoitetta kompromissin saamiseksi. Toinen toistokomponentin vika voitaisiin hyödyntää haitallisen elokuvatiedoston kanssa, Apple sanoi. QuickTime-etäkoodin suorittamisvirheiden korjaamiseen on neljä erilaista korjaustiedostoa, joita haitalliset MP3-, FPX-, QTIF- ja muut elokuvatiedostot voivat hyödyntää.

Toinen vakava etäkoodin suorittamisvirhe oli Directory Service -komponentissa, mutta se koski vain niitä käyttäjiä, joilla on palvelun mahdollistava Snow Leopard -järjestelmä. Hakemistopalvelu seuraa kaikkia käyttäjän ja ryhmän todennustietoja eri alustoilla, mukaan lukien Active Directory, LDAP, AppleTalk ja SMB-tiedostojen jakaminen. Apple korvasi Diectory Service -palvelun Open Directory -ohjelmalla Lionissa ja Mountaion Lionissa.

Hyökkääjät voisivat hyödyntää virhettä lähettämällä haitallisesti muotoillun viestin verkon yli aiheuttaakseen hakemistopalvelimen kaatumisen tai koodin suorittamisen etäyhteyden kautta, Apple sanoi.

OpenSSL, Safari-julkaisut

Apple korjaa OpenSSL: ssä 13 ongelmaa, joista yksi mahdollistaisi hyökkääjien käynnistää CRIME-hyökkäyksen, jossa hyökkääjä voisi purkaa SSL-suojatut istunnot. Turvallisuustutkijat Thai Duong ja Juliano Rizzo kehittivät TLS 1.0: n puristushyökkäyksen.

Uusi Safari, versio 6.0.5, korjaa 23 erillistä etäkoodin suorittamisen haavoittuvuutta ja kolme sivustojenvälistä komentosarjavirhettä. Kaikki ongelmat liittyivät WebKit-moottoriin, joka käyttää selainta.

"WebKitissä oli useita muistivirheitä koskevia ongelmia", Apple totesi ohjeessaan.

Nämä ongelmat altistavat Mac-käyttäjät selaustartunta-iskuille, ja hyökkääjät pystyisivät suorittamaan koodin selaimen ulkopuolella ja suoraan järjestelmässä ilman käyttäjän lupaa. Sivustojenvälisten komentosarjovirheiden avulla hyökkääjät voivat myös luoda haitallisia sivustoja, jotka sisältävät elementtejä laillisista sivuista, huijatakseen käyttäjiä ajattelemaan, että nämä väärennetyt sivustot ovat luotettavia.

Hanki päivitys

Applen ohjelmistopäivitystä käyttävät käyttäjät saavat oikean päivityksen automaattisesti. Käyttäjien, jotka päättävät tehdä sen manuaalisesti, täytyy tarttua OS X 10.8.4 -päivitykseen (joka sisältää Safari 6.0.5) Mountaion Lionille ja tietoturvapäivitykseen 2013-002 (joka ei sisällä Safari-päivitystä) Snow Leopardille ja Lionille. järjestelmiin. Huomaa, että Snow Leopard ei saa uutta Safari-versiota, koska se on edelleen Safari 5: ssä.

Apple korjaa vakavat puutteet, joista et tiennyt os x: ssä