苹果在一次重大安全更新中修补了其OS X操作系统中的一系列安全问题,以防止潜在的逐行攻击,并修复第三方产品中的问题。根据苹果公司2月1日发布的支持文章,OS X安全更新涵盖雪豹(OS X 10.6)和狮子(OS X 10.7)。与微软、甲骨文、Adobe等主要厂商不同,苹果不发布安全更新。最新的定期安全更新发布于2011年6月,就在该公司发布Lion之前。
更新2012-001包括39个修复程序,解决了52个不同的常见漏洞和披露。苹果还修复了另一个与未分配CVE的安全套接字层证书相关的问题。对于运行最新版本雪豹的用户来说,这个更新包含200MB的代码。但是Lion用户可以下载700MB到1.4GB之间的任何文件,这取决于当前安装的确切版本。本次更新中,Lion用户的版本将为10.7.3。
Sophos亚太区技术总监Paul Ducklin在Naked Security博客上写道:“这听起来像是一个你不得不冒险的更新”。
苹果将19个补丁归类为允许“任意代码执行”。Ducklin说,这些问题可能已经被利用,成为驾车攻击的一部分。根据Ducklin的说法,只有使用恶意文件才能触发攻击,例如预览字体、收听音频文件、观看视频、查看图像或阅读PDF文档。许多文件类型都会受到影响。
Ducklin表示,数据文件不应该包含无害的可执行代码,因此用户“合理地”认为图像、播客和视频对于Mac和PC来说是隐含安全的。他表示,这也是网络骗子愿意为这些漏洞付费的原因之一,因为这让网络骗子可以利用看似无辜的文件将恶意代码偷偷植入受害者的电脑。
由于苹果将第三方产品紧密集成到其操作系统中,因此它除了修复自己工具中的安全漏洞之外,还负责为所有这些产品打补丁。这使得它在一些问题上稍微落后于形势。
Apache中的“多个漏洞”已经修复,雪豹和Lion的桌面版和服务器版现在都运行Apache 2 . 2 . 21版本。根据通告,最严重的问题CVE 2011 3348可能导致拒绝服务。远程攻击者可能会发送格式错误的HTTP请求,导致服务器锁定,从而导致暂时的拒绝服务状态。
早在9月,Apache就发布并修复了这个问题。甲骨文在11月修补了受影响的产品。苹果花了四个多月的时间。
苹果还修复了Apache中的SSL漏洞,该漏洞可能被“野兽”攻击工具利用。一个常见的问题是如何使用CBC模式加密数据。但这一缺陷也可以用于中间人攻击,在这种攻击中,数据可以被解密。阿帕奇、微软和甲骨文已经修复了他们产品中的缺陷。
苹果修复了一个“降级问题”,即地址簿在无法创建加密连接的情况下,试图建立一个不加密的连接。“特权网络位置”中的攻击者将能够拦截由地址簿发送的CardDAV数据。此问题仅影响Lion用户,现已修复,需要用户批准才能创建未加密的连接。
苹果还撤销了马来西亚DigiCert颁发的证书。去年秋天,据报道,马来西亚数字证书公司(DigiCert Malaysia)发布了一个带有不可撤销的弱密钥的证书。攻击者将能够通过由马来西亚DigiCert签署的证书拦截网站的敏感信息。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!