Apple отстранява сериозни недостатъци, за които не сте знаели в os x

Apple отстрани редица сериозни уязвимости в OS X, уеб браузъра Safari и шепа пакети на трети страни като част от съществена актуализация. Корекциите са достъпни в актуализацията на софтуера и потребителите трябва да се уверят, че поправленията се прилагат незабавно.

Актуализациите, които засягат всички поддържани версии на OS X – Mountain Lion (10.8), Lion (10.7) и Snow Leopard (10.6) - и затвориха няколко грешки в изпълнението на отдалечен код в операционната система и Safari, заяви Apple в своя съвет, публикуван вчера, Патчите също бяха адресирани до проблеми в QuickTimes и внедряването на OS X на OpenSSL и Ruby. В момента Ruby бъговете се експлоатират в природата.

Наскоро в Ruby on Rails бяха идентифицирани множество уязвимости, най-сериозната от които може да доведе до дистанционно изпълнение на кодове на системи, работещи с Rails приложения. Apple се справи с осем различни уязвимости чрез актуализиране на Ruby on Rails в OS X до версия 2.3.18. Този проблем вероятно ще засегне OS X Lion или OS X Mountain Lion системи, които бяха надстроени от Mac OS X 10.6.8 или по-рано, заявиха от Apple.

OS X поправки

Apple отстрани няколко грешки при изпълнение на отдалечен код в операционната система. Атакуващите могат да използват един такъв недостатък в компонента CoreAnimation, където всичко, което потребителят трябва да направи, е да прегледа до злонамерено създаден URL адрес, за да се компрометира. Друг проблем в компонента „Възпроизвеждане“ може да бъде използван със злонамерено създаден филмов файл, заяви Apple. Има четири различни лепенки за бързото коригиране на грешки в изпълнението на отдалечен код, които могат да бъдат използвани от злонамерено създадени MP3, FPX, QTIF и други филмови файлове.

Друга сериозна грешка при изпълнение на отдалечен код беше в компонента Directory Service, но засегна само потребители със Snow Leopard системи, които са активирали услугата. Directory Service проследява цялата информация за удостоверяване на потребителя и групата, използвайки различни платформи, включително Active Directory, LDAP, AppleTalk и SMB споделяне на файлове. Apple замени Dietary Service с Open Directory в Lion и Mountaion Lion.

Нападателите биха могли да се възползват от недостатъка, като изпращат злонамерено изработено съобщение по мрежата, за да доведат до срив на директорията или изпълнение на код от разстояние, заяви Apple.

OpenSSL, издания на Safari

Apple отстрани 13 проблема в OpenSSL, един от които ще позволи на атакуващите да стартират CRIME атаката, където атакуващият може да декриптира SSL-защитени сесии. Атаката на компресия върху TLS 1.0 е разработена от изследователи по сигурността Thai Duong и Juliano Rizzo.

Новият Safari, версия 6.0.5, коригира 23 различни уязвими уязвимости при отдалечено изпълнение на кода и три недостатъци на скриптове в различни сайтове. Всички проблеми бяха свързани с двигателя WebKit, който захранва браузъра.

„Многобройни проблеми с корупцията в паметта съществуваха в WebKit“, казва Apple в своите консултации.

Тези проблеми излагат потребителите на Mac на атаки при заразяване чрез сърфиране и нападателите ще могат да изпълняват код извън браузъра и директно в системата, без да се нуждаят от разрешение на потребителя. Грешките в скрипт на различни сайтове също позволяват на атакуващите да създават злонамерени сайтове, съдържащи елементи от законни страници, за да подведат потребителите да мислят, че тези подправени сайтове са надеждни.

Вземете тази актуализация

Потребителите, които използват актуализацията на софтуера на Apple, получават правилната актуализация автоматично. Потребителите, които решат да го направят ръчно, ще трябва да вземат актуализацията на OS X 10.8.4 (която включва Safari 6.0.5) за Mountaion Lion и актуализация на сигурността 2013-002 (която не включва актуализацията на Safari) за Snow Leopard и Lion системи. Моля, обърнете внимание, че Snow Leopard не получава новата версия на Safari, тъй като все още е на Safari 5.