Video: Apple Event — November 10 (November 2024)
Spoločnosť Apple opravila niekoľko závažných zraniteľností v OS X, webovom prehliadači Safari a hŕstke balíkov tretích strán v rámci podstatnej aktualizácie. Opravy sú k dispozícii na aktualizácii softvéru a používatelia by sa mali uistiť, že opravy sú aplikované okamžite.
Aktualizácie, ktoré ovplyvňujú všetky podporované verzie OS X-Mountain Lion (10.8), Lion (10.7) a Snow Leopard (10.6) - a odstránili niekoľko chýb pri vzdialenom spustení kódu v operačnom systéme a Safari, informovala spoločnosť Apple vo svojom včerajšom odporúčaní., Opravy tiež riešili problémy v QuickTimes a implementácii OpenSSL a Ruby v OS X. Ruby chyby sa v súčasnosti vo voľnej prírode využívajú.
Nedávno bolo v Ruby on Rails identifikovaných viacero slabých miest, z ktorých najzávažnejšie môžu útočníci viesť k vzdialenému vykonaniu kódu na systémoch, na ktorých sú spustené aplikácie Rails. Spoločnosť Apple riešila osem rôznych zraniteľností aktualizáciou Ruby on Rails v OS X na verziu 2.3.18. Tento problém bude mať pravdepodobne dopad na systémy OS X Lion alebo OS X Mountain Lion, ktoré boli inovované z Mac OS X 10.6.8 alebo skôr, uviedol Apple.
Opravy OS X
Apple opravil niekoľko chýb pri vzdialenom vykonávaní kódu v operačnom systéme. Útočníci by mohli využiť jednu takúto chybu v komponente CoreAnimation, kde všetko, čo musí urobiť, je prehliadanie škodlivo vytvorenej adresy URL, aby bola ohrozená. Ďalšia chyba v komponente Playback by mohla byť zneužitá pomocou zlomyseľne vytvoreného filmového súboru, uviedol Apple. Pre QuickTime existujú štyri rôzne záplaty, ktoré opravujú nedostatky pri vykonávaní vzdialeného kódu, ktoré by mohli zneužiť zlomyseľne vytvorené súbory MP3, FPX, QTIF a ďalšie filmové súbory.
Ďalšia vážna chyba pri vykonávaní vzdialeného kódu bola v komponente Directory Service, ale ovplyvnila len používateľov so systémami Snow Leopard, ktorí túto službu povolili. Adresárová služba sleduje všetky informácie o autentifikácii používateľov a skupín pomocou rôznych platforiem vrátane zdieľania súborov Active Directory, LDAP, AppleTalk a SMB. Apple nahradil Diectory Service za Open Directory v Lion a Mountaion Lion.
Útočníci by mohli túto chybu zneužiť zaslaním škodlivo vytvorenej správy v sieti, ktorá by spôsobila zlyhanie adresárového servera alebo vykonanie kódu na diaľku, uviedol Apple.
OpenSSL, problémy so Safari
Apple opravil 13 problémov v OpenSSL, z ktorých jeden by umožnil útočníkom spustiť útok CRIME, kde by útočník mohol dešifrovať relácie chránené SSL. Kompresný útok na TLS 1.0 vyvinuli vedci v oblasti bezpečnosti Thai Duong a Juliano Rizzo.
Nové Safari, verzia 6.0.5, opravilo 23 rôznych slabých miest na vykonanie kódu a tri chyby pri skriptovaní na viacerých stránkach. Všetky tieto problémy súviseli s motorom WebKit, ktorý ovláda prehliadač.
„V WebKit existovalo viac problémov s poškodením pamäte, “ uviedol vo svojom odporúčaní Apple.
Tieto problémy vystavujú používateľov počítačov Mac útokom podľa prehľadávania a útočníci by mohli vykonať kód mimo prehliadača a priamo v systéme bez toho, aby potrebovali oprávnenie používateľa. Chyby skriptovania naprieč stránkami tiež umožňujú útočníkom vytvárať škodlivé stránky obsahujúce prvky z legitímnych stránok, aby používateľov prinútili presvedčiť ich, že tieto stránky sú dôveryhodné.
Získajte túto aktualizáciu
Používatelia, ktorí používajú aktualizáciu softvéru spoločnosti Apple, dostanú správnu aktualizáciu automaticky. Používatelia, ktorí sa rozhodnú manuálne, budú musieť pre systém Snowtaion Lion aktualizovať OS X 10.8.4 (ktorý obsahuje Safari 6.0.5) a aktualizáciu zabezpečenia 2013-002 (ktorá nezahŕňa aktualizáciu Safari) pre Snow Leopard a Lion. systémy. Upozorňujeme, že Snow Leopard nedostáva novú verziu Safari, pretože je stále na Safari 5.