苹果释出安全更新修补50多个安全漏洞
来源:岁月联盟
时间:2009-02-20
苹果所发布的四个安全更新分别为针对Mac OS X v10.4.11及Mac OS X v10.5.6操作系统部件的安全更新Security Update 2009-001;针对Mac OS X 10.5的Java部件更新;锁定的Mac OS X 10.4的Java部件更新;以及Safari浏览器3.2.2Windows版的更新,总计修补逾50个安全漏洞。
Updata 2009-001所修补的安全漏洞主要影响AFP服务器,苹果影片处理工具Pixlet Video、CarbonCore、CFNetwork、Certificate Assistant、ClamAV、CoreText、CUPS、DS Tools、fetchmail、Folder Manager、FSEvents、Network Time、perl、Printing、python、Remote Apple Events、servermgrd、SMB、SquirrelMail、X11、XTerm,以及Safari中的RSS 。
其中,Safari浏览器的RSS漏洞在Safari浏览器处理嵌入feed:URL的方式时存在多个输入验证问题,因此当使用者存取恶意的feed:URL时,可能导致执行任意程式。
在苹果公司发布安全更新后不久,Safari漏洞发现者之一的Brian Mastenbrook在其博客中警告用户,该Safari漏洞十分危险,指出该漏洞是Safari浏览器中RSS feed的设计失误,将远端的内容错认为使用者计算机中的内容,不论是苹果还是Windows系统的Safari浏览器都受此漏洞的影响,并可能导致跨站安全(XSS)。
Mastenbrook表示,该漏洞很容易被发动钓鱼欺骗的安全者利用,安全者只需要架设一个网络服务器,当用户点击一个并不存在的页面时,自动回复一个含有恶意程序的页面给用户。他强调,早在去年7月他就提供了相关漏洞信息以及可存取使用者电脑中档案的POC文档给苹果公司,但苹果公司迟迟未予修补,使得他不得不在今年1月张贴该漏洞的警告,并建议使用者暂时关闭Safari浏览器中的RSS功能。
此外,苹果针对Mac OS X的10.5及10.5的Mac OS X等操作系统的Java部件的更新皆为修补Java网络启动与Java插件中的多个安全漏洞,其中最严重的漏洞可能会让不受信任的Java的应用提升使用权限。
