Video: MacOS Big Sur review (Oktober 2024)
Apple fikset en rekke alvorlige sårbarheter i OS X, Safari-nettleseren og en håndfull tredjepartspakker som del av en betydelig oppdatering. Oppdateringene er tilgjengelige på programvareoppdatering, og brukerne bør sørge for at rettelsene blir brukt umiddelbart.
Oppdateringene, som påvirker alle støttede versjoner av OS X – Mountain Lion (10.8), Lion (10.7) og Snow Leopard (10.6) - og lukket flere feil på ekstern kjøring av kode i operativsystemet og Safari, sa Apple i sin rådgivende post i går. Oppdateringene adresserte også problemer i QuickTimes og OS X-implementeringen av OpenSSL og Ruby. Ruby-bugs utnyttes for tiden i naturen.
Flere sårbarheter er nylig blitt identifisert i Ruby on Rails, hvor de alvorligste kan føre til at angripere eksternt kjører kode på systemer som kjører Rails-applikasjoner. Apple adresserte åtte forskjellige sårbarheter ved å oppdatere Ruby on Rails i OS X til versjon 2.3.18. Dette problemet vil sannsynligvis påvirke OS X Lion eller OS X Mountain Lion-systemer som ble oppgradert fra Mac OS X 10.6.8 eller tidligere, sier Apple.
OS X-fikser
Apple fikset flere utførelsesfeil for ekstern kode i operativsystemet. Angripere kan utnytte en slik feil i CoreAnimation-komponenten, der alt brukeren må gjøre er å bla til en skadelig URL-adresse for å bli kompromittert. En annen feil i Playback-komponenten kan utnyttes med en skadelig filmfil, sa Apple. Det er fire forskjellige oppdateringer for QuickTime for å fikse feil på ekstern kjøring av kode som kan utnyttes av ondsinnet laget MP3, FPX, QTIF og andre filmfiler.
En annen alvorlig feilkjøring av ekstern kode var i katalogtjenestekomponenten, men den berørte bare brukere med Snow Leopard-systemer som har aktivert tjenesten. Directory Service sporer all bruker- og gruppeautentiseringsinformasjon ved hjelp av forskjellige plattformer, inkludert Active Directory, LDAP, AppleTalk og SMB-fildeling. Apple erstattet Diectory Service med Open Directory i Lion og Mountaion Lion.
Angripere kan utnytte feilen ved å sende en ondsinnet melding over nettverket for å føre til at katalogserveren krasjer eller kjører ekstern kode, sa Apple.
OpenSSL, Safari Issues
Apple fikset 13 problemer i OpenSSL, hvorav ett vil tillate angripere å starte CRIME-angrepet, der en angriper kunne dekryptere SSL-beskyttede økter. Kompresjonsangrepet på TLS 1.0 ble utviklet av sikkerhetsforskerne Thai Duong og Juliano Rizzo.
Den nye Safari, versjon 6.0.5, fikset 23 distinkte sårbarheter for ekstern kjøring av kode og tre skriptingsfeil på tvers av nettsteder. Problemene var alle relatert til WebKit-motoren som styrer nettleseren.
"Flere problemer med hukommelseskorrupsjon eksisterte i WebKit, " sa Apple i rådgivningen.
Disse problemene utsetter Mac-brukere for angrep på infeksjon-etter-surfing, og angriperne vil kunne utføre kode utenfor nettleseren og direkte på systemet uten å måtte ha autorisasjon fra brukeren. Bugs på tvers av nettsteder lar også angripere lage skadelige nettsteder som inneholder elementer fra legitime sider for å lure brukere til å tro at disse forfalskede nettstedene er pålitelige.
Få den oppdateringen
Brukere som bruker Apples programvareoppdatering, får riktig oppdatering automatisk. Brukere som bestemmer seg for å gjøre det manuelt, må ta tak i OS X 10.8.4-oppdateringen (som inkluderer Safari 6.0.5) for Mountaion Lion og sikkerhetsoppdatering 2013-002 (som ikke inkluderer Safari-oppdateringen) for Snow Leopard og Lion systemer. Vær oppmerksom på at Snow Leopard ikke får den nye Safari-versjonen ettersom den fremdeles er på Safari 5.
