Video: History of macOS (Noiembrie 2024)
Apple a rezolvat o serie de vulnerabilități grave în OS X, browserul Safari Web și o mână de pachete terțe ca parte a unei actualizări substanțiale. Patch-urile sunt disponibile pe Actualizare software, iar utilizatorii ar trebui să se asigure că corecțiile sunt aplicate imediat.
Actualizările, care afectează toate versiunile acceptate de OS X – Mountain Lion (10.8), Lion (10.7) și Snow Leopard (10.6) - și au închis câteva defecte de execuție a codului de la distanță în sistemul de operare și Safari, a spus Apple în avizul său postat ieri. Patch-urile au abordat, de asemenea, probleme în QuickTimes și în implementarea OS X a OpenSSL și Ruby. Bug-urile Ruby sunt exploatate în prezent în sălbăticie.
Mai multe vulnerabilități au fost identificate recent în Ruby on Rails, dintre care cea mai gravă poate duce la executarea de la distanță a codului pe sistemele care rulează aplicații Rails. Apple a abordat opt vulnerabilități distincte prin actualizarea Ruby on Rails în OS X la versiunea 2.3.18. Această problemă va afecta probabil sistemele OS X Lion sau OS X Mountain Lion, care au fost actualizate de la Mac OS X 10.6.8 sau mai vechi, a spus Apple.
Corecții OS X
Apple a rezolvat mai multe bug-uri de execuție a codului de la distanță în sistemul de operare. Atacatorii ar putea exploata un astfel de defect în componenta CoreAnimation, în care tot ce trebuie să facă utilizatorul este să navigheze pe o adresă URL elaborată cu rău intenționat pentru a fi compromisă. Apple a spus că un alt bug al componentei „Playback” poate fi exploatat cu un fișier de film elaborat cu răutate. Există patru patch-uri diferite pentru remedierea rapidă a erorilor de execuție a codului de la distanță, care ar putea fi exploatate de fișierele MP3, FPX, QTIF și alte filme realizate cu rău.
O altă eroare serioasă de execuție a codului de la distanță a fost în componența Directory Service, dar a afectat doar utilizatorii cu sisteme Snow Leopard care au activat serviciul. Directory Service urmărește toate informațiile de autentificare pentru utilizatori și grupuri folosind diverse platforme, inclusiv Active Directory, LDAP, AppleTalk și partajarea de fișiere SMB. Apple a înlocuit Diectory Service cu Open Directory în Lion și Mountaion Lion.
Atacatorii ar putea exploata defectul, trimițând un mesaj elaborat în mod rău în rețea pentru a determina serverul de director să se prăbușească sau să execute codul de la distanță, a spus Apple.
Probleme OpenSSL, Safari
Apple a rezolvat 13 probleme în OpenSSL, dintre care unul ar permite atacatorilor să lanseze atacul CRIME, unde un atacator ar putea decripta sesiunile protejate SSL. Atacul de compresie asupra TLS 1.0 a fost dezvoltat de cercetătorii de securitate Thai Duong și Juliano Rizzo.
Noul Safari, versiunea 6.0.5, a rezolvat 23 de vulnerabilități distincte de execuție a codului de la distanță și trei defecte de script inter-site. Problemele au fost legate de motorul WebKit care alimentează browserul.
"Au existat mai multe probleme de corupție a memoriei în WebKit", a spus Apple în avizul său.
Aceste probleme expun utilizatorii Mac la atacuri de navigare cu infecții, iar atacatorii ar putea să execute cod în afara browserului și direct pe sistem fără a avea nevoie de autorizarea utilizatorului. Bug-urile de scripturi încrucișate permit, de asemenea, atacatorilor să creeze site-uri rău intenționate care conțin elemente din pagini legitime, pentru a păcăli utilizatorii să creadă că aceste site-uri răsfățate sunt de încredere.
Obțineți actualizarea respectivă
Utilizatorii care folosesc Actualizarea software Apple primesc automat actualizarea corectă. Utilizatorii care decid să o facă manual vor trebui să apeleze la actualizarea OS X 10.8.4 (care include Safari 6.0.5) pentru Mountaion Lion și Security Update 2013-002 (care nu include actualizarea Safari) pentru Snow Leopard și Lion sisteme. Vă rugăm să rețineți că Snow Leopard nu primește noua versiune Safari, deoarece este încă pe Safari 5.