Video: Apple Event — November 10 (November 2024)
Apple je odpravil številne resne ranljivosti v OS X, spletnem brskalniku Safari in peščici paketov drugih proizvajalcev kot del velike posodobitve. Obliži so na voljo v Posodobitvi programske opreme in uporabniki morajo poskrbeti, da se popravki takoj uporabijo.
Posodobitve, ki vplivajo na vse podprte različice OS X-Mountain Lion (10.8), Lion (10.7) in Snow Leopard (10.6) - in so odpravile več napak v izvrševanju kode v operacijskem sistemu in Safariju, je Apple povedal v svojem včerajšnjem nasvetu.. Obliži so obravnavali tudi vprašanja v QuickTimesu in OS X implementaciji OpenSSL in Ruby. Bube Ruby trenutno izkoriščajo v naravi.
V Ruby on Rails so pred kratkim odkrili več ranljivosti, od katerih najresnejša napadalca na daljavo izvrši kodo v sistemih, ki poganjajo aplikacije Rails. Apple se je lotil osem različnih ranljivosti z posodobitvijo Ruby on Rails v OS X na različico 2.3.18. Ta težava bo verjetno vplivala na sisteme OS X Lion ali OS X Mountain Lion, ki so bili nadgrajeni z Mac OS X 10.6.8 ali starejših, je povedal Apple.
Popravki OS X
Apple je v operacijskem sistemu odpravil več napak za izvajanje oddaljene kode. Napadalci bi lahko izkoristili eno takšno napako v komponenti CoreAnimation, kjer mora uporabnik brskati po zlonamerno izdelanem URL-ju, da bi prišel do ogrožanja. Apple je še povedal, da je še ena napaka v komponenti Playback mogoče izkoristiti z zlonamerno oblikovano filmsko datoteko. Obstajajo štirje različni popravki za odpravljanje napak na oddaljeni kodi QuickTime, ki jih lahko izkoristijo zlonamerno oblikovani MP3, FPX, QTIF in druge filmske datoteke.
Druga resna napaka pri izvrševanju kode je bila v komponenti Storitve imenika, vendar je prizadela le uporabnike sistemov Snow Leopard, ki so omogočili storitev. Storitev Imenika sledi vsem informacijam za preverjanje pristnosti uporabnikov in skupin z uporabo različnih platform, vključno z Active Directory, LDAP, AppleTalk in skupno rabo datotek SMB. Apple je prehransko storitev zamenjal z Open Directory v Lion in Mountaion Lion.
Napadalci bi lahko izkoristili napako s pošiljanjem zlonamerno izdelanega sporočila po omrežju, da bi povzročil zrušitev imeniškega strežnika ali na daljavo izvedel kodo, navaja Apple.
OpenSSL, vprašanja Safarija
Apple je v OpenSSL odpravil 13 težav, od katerih bi ena napadalcem omogočila začetek napada CRIME, kjer bi napadalec lahko dešifriral seje, zaščitene s SSL. Kompresijski napad na TLS 1.0 sta razvila varnostna raziskovalca Thai Duong in Juliano Rizzo.
Novi Safari, različica 6.0.5, je odpravil 23 različnih ranljivosti oddaljene izvedbe kode in tri pomanjkljivosti v skriptnem spletnem mestu. Vsa vprašanja so bila povezana z motorjem WebKit, ki poganja brskalnik.
"V WebKitu je obstajalo več vprašanj, povezanih s korupcijo pomnilnika, " je Apple povedal v svojih svetovanjih.
Te težave izpostavljajo uporabnike Maca napadom okužbe z brskanjem, napadalci pa bi lahko izvršili kodo zunaj brskalnika in neposredno v sistemu, ne da bi za to potrebovali pooblastilo uporabnika. Napake v skriptnem skriptanju napadalcem omogočajo tudi ustvarjanje zlonamernih spletnih mest, ki vsebujejo elemente z legitimnih strani, da uporabnike zvabijo, da mislijo, da so ta ponarejena spletna mesta vredna zaupanja.
Pridobite to posodobitev
Uporabniki, ki uporabljajo Applovo posodobitev programske opreme, prejmejo pravilno posodobitev samodejno. Uporabniki, ki se bodo odločili za ročno uporabo, bodo morali za posnetek Snow Leopard in Lion izbrati posodobitev OS X 10.8.4 (vključno s Safarijem 6.0.5) za Mountaion Lion in varnostno posodobitev 2013–002 (ki ne vključuje posodobitve Safarija) sistemov. Upoštevajte, da Snow Leopard ne dobi nove različice Safari, kot je še vedno na Safariju 5.