Video: WWDC 2020 Special Event Keynote — Apple (Oktober 2024)
Apple rettede et antal alvorlige sårbarheder i OS X, Safari-webbrowser og en håndfuld tredjepartspakker som en del af en betydelig opdatering. Patches er tilgængelige på Software Update, og brugerne skal sørge for, at rettelserne anvendes umiddelbart.
Opdateringerne, der berører alle understøttede versioner af OS X – Mountain Lion (10.8), Lion (10.7) og Snow Leopard (10.6) - og lukkede flere fejl i eksekvering af fjernkode i operativsystemet og Safari, sagde Apple i sin rådgivende post i går. Opdateringerne adresserede også problemer i QuickTimes og OS X-implementeringen af OpenSSL og Ruby. Ruby-bugs udnyttes i øjeblikket i naturen.
Der er for nylig blevet identificeret flere sårbarheder i Ruby on Rails, hvor den mest alvorlige kan resultere i, at angribere eksternt udfører kode på systemer, der kører Rails-applikationer. Apple adresserede otte forskellige sårbarheder ved at opdatere Ruby on Rails i OS X til version 2.3.18. Dette problem vil sandsynligvis påvirke OS X Lion eller OS X Mountain Lion-systemer, der blev opgraderet fra Mac OS X 10.6.8 eller tidligere, sagde Apple.
OS X-rettelser
Apple rettede adskillige fejlkørsel til fjernudførelse af kode i operativsystemet. Angribere kunne udnytte en sådan fejl i CoreAnimation-komponenten, hvor alt, hvad brugeren skal gøre, er at gennemse til en ondsindet udformet URL for at blive kompromitteret. En anden fejl i Playback-komponenten kunne udnyttes med en ondsindet udformet filmfil, sagde Apple. Der er fire forskellige programrettelser til QuickTime-rettelse af fejl i forbindelse med eksekvering af fjernkode, der kan udnyttes af ondsindet udformede MP3-, FPX-, QTIF- og andre filmfiler.
En anden alvorlig exekveringsfejl til fjernkode var i Directory Service-komponenten, men det berørte kun brugere med Snow Leopard-systemer, der har aktiveret tjenesten. Directory Service sporer alle bruger- og gruppegodkendelsesoplysninger ved hjælp af forskellige platforme, herunder Active Directory, LDAP, AppleTalk og SMB-fildeling. Apple erstattede Diectory Service med Open Directory i Lion og Mountaion Lion.
Angribere kunne udnytte fejlen ved at sende en ondsindet udformet besked over netværket for at få katalogserveren til at gå ned eller eksternt køre kode, sagde Apple.
OpenSSL, Safari-problemer
Apple løste 13 problemer i OpenSSL, hvoraf den ene ville give angribere mulighed for at starte CRIME-angrebet, hvor en angriber kunne dekryptere SSL-beskyttede sessioner. Komprimeringsangrebet på TLS 1.0 blev udviklet af sikkerhedsforskerne Thai Duong og Juliano Rizzo.
Den nye Safari, version 6.0.5, fik 23 forskellige sårbarheder til udførelse af ekstern kode og tre script-fejl på tværs af websteder. Problemerne var alle relateret til WebKit-motoren, der driver browseren.
"Der eksisterede flere problemer med hukommelseskorruption i WebKit, " sagde Apple i sin rådgivende.
Disse problemer udsætter Mac-brugere for angreb fra infektion ved browsing, og angribere ville være i stand til at udføre kode uden for browseren og direkte på systemet uden brug af tilladelse fra brugeren. Cross-site scripting-fejl giver også angribere mulighed for at oprette ondsindede websteder, der indeholder elementer fra legitime sider for at narre brugerne til at tro, at disse forfalskede sider er pålidelige.
Få den opdatering
Brugere, der bruger Apples softwareopdatering, får automatisk den korrekte opdatering. Brugere, der beslutter at gøre det manuelt, skal gribe OS X 10.8.4-opdateringen (som inkluderer Safari 6.0.5) til Mountaion Lion og sikkerhedsopdatering 2013-002 (som ikke inkluderer Safari-opdateringen) til Snow Leopard og Lion systemer. Bemærk, at Snow Leopard ikke får den nye Safari-version, da den stadig er på Safari 5.
