וִידֵאוֹ: Aleh X Doze | 185 ª BDT | Edição Online | Carapicuíba | SP (אוֹקְטוֹבֶּר 2024)
אפל תיקנה מספר פגיעויות חמורות במערכת ההפעלה X, בדפדפן האינטרנט של Safari, וקומץ חבילות של צד שלישי כחלק מעדכון משמעותי. המדבקות זמינות בעדכון התוכנה ועל המשתמשים לוודא שהתיקונים מיושמים באופן מיידי.
העדכונים, המשפיעים על כל הגרסאות הנתמכות של מערכת ההפעלה X-Mountain Lion (10.8), Lion (10.7) ו- Snow Leopard (10.6) - וסגרו מספר ליקויי ביצוע קוד מרחוק במערכת ההפעלה ובספארי, אמרה אפל בהודעות שלה פורסמו אתמול. המדבקות התייחסו גם לבעיות ב- QuickTimes וביישום OS X של OpenSSL ו- Ruby. באגי האודם מנוצלים כעת בטבע.
לאחרונה זוהו נקודות תורפה מרובות ב- Ruby on Rails, שהחמורה שבהן יכולה לגרום לתוקפים לבצע מרחוק קוד במערכות שמפעילות יישומי Rails. אפל התייחסה לשמונה פגיעויות ברורות על ידי עדכון Ruby on Rails במערכת ההפעלה X לגירסה 2.3.18. אפל, ככל הנראה, בעיה זו תשפיע על מערכות OS X Lion או OS X Mountain Lion ששודרגו מ- Mac OS X 10.6.8 ומעלה.
מערכת הפעלה X תיקונים
אפל תיקנה מספר באגים של ביצוע קוד מרחוק במערכת ההפעלה. התוקפים עלולים לנצל פגם אחד כזה במרכיב CoreAnimation, כאשר כל מה שהמשתמש צריך לעשות הוא לדפדף לכתובת URL בעלת מבנה זדוני כדי להתפשר. אפל אמרה כי באג נוסף ברכיב ה- Playback יכול להיות מנוצל באמצעות קובץ סרטים בעל מבנה זדוני. ישנם ארבעה טלאים שונים לתיקוני QuickTime לתיקון פגמים בביצוע קוד מרחוק אשר יכולים להיות מנוצלים על ידי קבצי סרטים MP3, FPX, QTIF וקבצי סרט אחרים המיוצרים בזדון.
באג ביצוע קוד מרחוק רציני נוסף היה ברכיב שירות Directory, אך הוא השפיע רק על משתמשים עם מערכות Snow Leopard שהפעילו את השירות. שירות מדריך אתרים עוקב אחר כל מידע האימות למשתמשים וקבוצתיים באמצעות פלטפורמות שונות, כולל Active Directory, LDAP, AppleTalk ושיתוף קבצים SMB. אפל החליפה את שירות המנחים ב- Open Directory ב- Lion ו- Mountaion Lion.
התוקפים עלולים לנצל את הפגם על ידי שליחת הודעה בעלת מבנה זדוני ברשת כדי לגרום לשרת הספרייה להתרסק או לבצע מרחוק קוד, אמרה אפל.
OpenSSL, סוגיות ספארי
אפל תיקנה 13 בעיות ב- OpenSSL, אחת מהן תאפשר לתוקפים להפעיל את מתקפת ה- CRIME, שם תוקף יכול לפענח הפעלות המוגנות על ידי SSL. התקפת הדחיסה ב- TLS 1.0 פותחה על ידי חוקרי האבטחה התאילנדי דואונג וג'וליאנו ריזו.
הספארי החדש, גרסה 6.0.5, תיקן 23 פגיעויות של ביצוע קוד מרחוק ברורים ושלושה פגמים בכתיבת אתרים. הנושאים היו קשורים כולם למנוע ה- WebKit שמפעיל את הדפדפן.
אפל הודיעה כי "בעיות שחיתות זיכרון מרובות היו קיימות ב- WebKit."
בעיות אלה חושפות את משתמשי מק למתקפות גלישה על ידי זיהום, והתוקפים יוכלו לבצע קוד מחוץ לדפדפן וישירות במערכת ללא צורך באישור משתמש. באגים של סקריפטים חוצי אתרים מאפשרים גם לתוקפים ליצור אתרים זדוניים המכילים אלמנטים מדפים לגיטימיים כדי להערים על המשתמשים לחשוב שאתרים מזויפים אלה אמינים.
קבל את העדכון הזה
משתמשים המשתמשים בעדכון התוכנה של אפל מקבלים את העדכון הנכון באופן אוטומטי. משתמשים שיחליטו לעשות זאת באופן ידני יצטרכו לתפוס את עדכון OS X 10.8.4 (הכולל Safari 6.0.5) עבור Mountaion Lion ו- Update Update 2013-002 (שאינו כולל את עדכון Safari) עבור Snow Leopard and Lion מערכות. שימו לב ש- Leopard Snow אינו מקבל את גרסת הספארי החדשה מכיוון שהוא עדיין בספארי 5.
