Videó: Unboxing Every iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max (November 2024)
Az Apple számos komoly sebezhetőséget javított az OS X-ben, a Safari webböngészőben, és egy maroknyi harmadik féltől származó csomagot egy jelentős frissítés részeként. A javítások elérhetők a Szoftverfrissítés webhelyen, és a felhasználóknak ellenőrizniük kell, hogy a javításokat azonnal alkalmazzák.
A frissítések, amelyek az OS X - Mountain Lion (10.8), Lion (10.7) és Snow Leopard (10.6) összes támogatott verzióját érintik - és számos távoli kódfuttatási hibát szüntettek meg az operációs rendszerben és a Safari-ban, mondta az Apple a tegnapi közleményében.. A javítások a QuickTimes, valamint az OpenSSL és a Ruby OS X megvalósításának kérdéseivel is foglalkoztak. A Ruby hibákat jelenleg vadonban használják ki.
A Ruby on Rails a közelmúltban több sebezhetőséget is felfedezett, amelyek közül a legsúlyosabb a támadók távoli kódfuttatást eredményezhet a Rails alkalmazásokat futtató rendszereken. Az Apple nyolc különálló sebezhetőséget orvosolt azáltal, hogy az OS X Ruby on Rails verzióját frissítette a 2.3.18 verzióra. Ez a probléma valószínűleg hatással lesz az OS X Lion vagy az OS X Mountain Lion rendszerekre, amelyeket a Mac OS X 10.6.8 vagy korábbi verzióra frissítettek.
Az OS X javítások
Az Apple számos távoli kódfuttatási hibát javított az operációs rendszerben. A támadók kihasználhatják az egyik ilyen hibát a CoreAnimation összetevőben, ahol a felhasználónak csak annyit kell tennie, hogy börtönöz egy rosszindulatú URL-t, hogy veszélybe kerüljön. Egy másik hiba a Playback komponensben egy rosszindulatúan kialakított filmfájllal kihasználható - mondta az Apple. Négy különféle javítás létezik a QuickTime távoli kódfuttatási hibák kiküszöbölésére, amelyeket rosszindulatúan kialakított MP3, FPX, QTIF és más filmfájlok használhatnak ki.
Egy másik komoly távoli kódfuttatási hiba volt a Directory Service összetevőben, de csak a Snow Leopard rendszerekkel rendelkező felhasználókat érintette, akik engedélyezték a szolgáltatást. A Directory Service nyomon követi az összes felhasználói és csoportos hitelesítési információt különböző platformokon keresztül, beleértve az Active Directory, az LDAP, az AppleTalk és az SMB fájlmegosztást. Az Apple helyettesítette a Diectory Service-t az Open Directory-val a Lionban és a Mountaion Lion-ban.
A támadók kihasználhatják a hibát, ha rosszindulatúan kialakított üzenetet küldenek a hálózaton keresztül, hogy a címtárszerver összeomoljon vagy a kódot távolról futtassa - mondta az Apple.
OpenSSL, Safari Issues
Az Apple 13 problémát javított az OpenSSL-ben, amelyek közül az egyik lehetővé tenné a támadók számára a CRIME támadás elindítását, ahol a támadó visszafejteni tudta az SSL-védett munkameneteket. A TLS 1.0 elleni kompressziós támadást Thai Duong biztonsági kutatók és Juliano Rizzo fejlesztették ki.
Az új Safari, a 6.0.5 verzió, 23 különálló távoli kódvégrehajtási biztonsági rést és három helyszíni szkriptési hibát javított. A problémák mind a böngészőt működtető WebKit motorhoz kapcsolódtak.
"A WebKitben több memória-megsérülési probléma létezett" - mondta az Apple tanácsadója.
Ezek a problémák teszik ki a Mac-felhasználókat a fertőzés által tallózott támadásoknak, és a támadók a böngészőn kívül és közvetlenül a rendszeren végrehajthatják a kódot felhasználói engedély nélkül. A webhelyek közötti szkriptekkel kapcsolatos hibák is lehetővé teszik a támadók számára, hogy rosszindulatú webhelyeket hozzanak létre, amelyek legitim oldalak elemeit tartalmazzák, hogy becsapják a felhasználókat arra gondolva, hogy ezek a hamis webhelyek megbízhatóak-e.
Szerezd meg ezt a frissítést
Az Apple szoftverfrissítését használó felhasználók automatikusan megkapják a helyes frissítést. A felhasználóknak, akik úgy döntenek, hogy manuálisan csinálják, meg kell ragadniuk az OS X 10.8.4 frissítést (amely magában foglalja a Safari 6.0.5) a Mountaion Lion és a 2013-002 biztonsági frissítés (amely nem tartalmazza a Safari frissítést) a Snow Leopard és Lion számára. rendszereket. Felhívjuk figyelmét, hogy a Snow Leopard nem kapja meg az új Safari verziót, mivel még mindig a Safari 5-en található.
