上周,苹果公司发布了四个安全更新,修复了包括苹果Safari浏览器以及MACOSX中存在的50个安全漏洞,这是苹果09年第一次发布安全补丁,同时也是近年来最大的一次安全补丁发布。
近日,苹果公司发布四个安全更新,修补超过50个安全漏洞,涵盖的MacOSX中的元件及的Windows版Safari浏览器。这是苹果今年度首次安全更新,也是近来最大规模的安全更新。
苹果所发布的四个安全更新分别为针对MacOSXv10.4.11及MacOSXv10.5.6操作系统部件的安全更新SecurityUpdate2009-001;针对MacOSX10.5的Java部件更新;锁定的MacOSX10.4的Java部件更新;以及Safari浏览器3.2.2Windows版的更新,总计修补逾50个安全漏洞。
Updata2009-001所修补的安全漏洞主要影响AFP服务器,苹果影片处理工具PixletVideo、CarbonCore、CFNetwork、CertificateAssistant、ClamAV、CoreText、CUPS、DSTools、fetchmail、FolderManager、FSEvents、NetworkTime、perl、Printing、python、RemoteEvents、servermgrd、SMB、SquirrelMail、X11、XTerm,以及Safari中的RSS。
其中,Safari浏览器的RSS漏洞在Safari浏览器处理嵌入feed:URL的方式时存在多个输入验证问题,因此当使用者存取恶意的feed:URL时,可能导致执行任意程式。
在苹果公司发布安全更新后不久,Safari漏洞发现者之一的BrianMastenbrook在其博客中警告用户,该Safari漏洞十分危险,指出该漏洞是Safari浏览器中RSSfeed的设计失误,将远端的内容错认为使用者计算机中的内容,不论是苹果还是Windows系统的Safari浏览器都受此漏洞的影响,并可能导致跨站攻击(XSS)。
Mastenbrook表示,该漏洞很容易被发动钓鱼欺骗的攻击者利用,攻击者只需要架设一个网络服务器,当用户点击一个并不存在的页面时,自动回复一个含有恶意程序的页面给用户。他强调,早在去年7月他就提供了相关漏洞信息以及可存取使用者电脑中档案的POC文档给苹果公司,但苹果公司迟迟未予修补,使得他不得不在今年1月张贴该漏洞的警告,并建议使用者暂时关闭Safari浏览器中的RSS功能。
此外,苹果针对MacOSX的10.5及10.5的MacOSX等操作系统的Java部件的更新皆为修补Java网络启动与Java插件中的多个安全漏洞,其中最严重的漏洞可能会让不受信任的Java的应用提升使用权限。
网友评论