据外电报道,Matasano安全公司研究人员Thomas Ptacek自从上周五苹果发布Leopard操作系统以来就马上进行了测试。他在本周一发表了一篇对Leopard进行评估的详细报告。他说,Leopard为Mac计算机增加了许多重要的安全功能。但是,这些安全功能经常执行得不彻底,使用户容易受到攻击。
Ptacek称,苹果的两项关键的安全增强功能“Sandboxing”(沙箱)和“Library Randomization”(库随机化)是极好的想法。但是,这两个功能在Leopard操作系统中没有很好地应用。
以“Library Randomization”为例,这个新功能旨在阻止缓存溢出等常见的计算机攻击。在缓存溢出攻击中,攻击者利用软件中的漏洞把代码放到计算机内存的某个地方来达到攻击的目的。攻击者知道代码在那个地方能够运行。“Library Randomization”技术能够让攻击者不知道把代码放在什么地方,从而减少攻击的危险。
Ptacek称,现在的问题是苹果没有对操作系统中所有应该进行随机化处理的部分进行随机化。特别是苹果一直没有对动态链接库进行随机化。
安全研究人员Dino Dai Zovi称,他在过去几年编写利用Mac计算机安全漏洞代码的时候都在利用这个库。他就是利用了动态链接库没有进行随机化。他同意Ptacek对这项功能的评估结果。如果Leopard操作系统正确使用这个功能会给攻击者带来更多的困难。
“Sandboxing”是最终使Mac OS X操作系统更安全的一种功能。这个功能可以限制软件在Mac OS X操作系统上运行。即使黑客攻破这个系统也不能向系统增加新的软件。这个问题是苹果没有使用沙箱技术保护最经常受到攻击的应用程序,如浏览器、电子邮件客户端软件或者即时消息软件。
独立安全顾问Rich Mogull表示,他认为最大的问题是Leopard防火墙。这个防火墙的界面让他感到困惑。他说,防火墙界面太复杂,很难进行正确的设置。
苹果不愿意对这些新安全功能的细节发表评论。苹果发言人Anuj Nayar称,苹果对待安全问题是非常认真的。苹果要在安全漏洞影响到用户之前解决这些问题。苹果在这方面有很好的记录。
网友评论