据海外最新报道,苹果电脑为其Mac OS X操作系统发布了一个阶段性的安全补丁,其中解决了多个软件中存在的缓冲区溢出等漏洞。Mac OS X正在升级若干组件及操作系统技术,其中涉及到的组件及技术包括,AppKit, BlueTooth, CoreFoundation, cups, Directory Services, HIToolBox, Kerberos, loginwindow, Mail, OpenSSL, QuartzComposerScreenSaver, Security Interface, Safari, X11 and zlib。
Apache 2已经升级对应Mac OS X 10.3.9服务器版,解决了其htdigest程序中的缓冲区溢出问题。该弱点可以被黑客利用通过一个CGI应用程序来管理网页服务器的用户登陆权限。Apache 1.3上的类似问题在2005-005升级时得到了解决,本次是第二次解决此类问题。
最新安全性升级补丁修复了AppKit组件的数个错误,其中包括能够导致随意代码执行的数据缓冲区漏洞,而本次升级将阻止数据缓冲区漏洞的发生。
一个类似的数据缓冲区漏洞影响应用程序正常工作,如TextEdit使用AppKit打开Microsoft Word文档就会受到影响。苹果电脑指出,Mac OS X版Microsoft Word并不容易受到攻击。
操作证书的Directory Services中的数据缓冲区漏洞可能导致远程攻击者利用随意代码执行安全漏洞,而本次升级也将阻止此数据缓冲区漏洞的发生。Directory Services上的另一个弱点集中在特权工具dsidentity上的数个安全漏洞。此漏洞可以让非管理员身份用户在Directory Services上添加或删除认证用户帐户。Dsidentity及其文档在本次升级中被删除了。
Kerberos被升级到5.5.1版,其中多个可能导致拒绝服务攻击或密钥分配中心(KDC)remote compromise攻击的数据缓冲区弱点。
Mac OS X 10.4.2版的登陆窗口也得到了升级,其控制“快速切换用户”组件中一漏洞也得到了修复。该漏洞能使知道两个帐户密码的本地用户不需要密码即可登陆第三方帐户。
一些情况下,苹果电脑的Mail应用程序在用户已设置禁止参数下还继续加载远程图片。本次安全性升级将解决此问题。
Mac OS X 10.3.9版MySQL存在的数个弱点也得到了解决。这些弱点能够让远程认证用户随意执行代码,这样的问题将不会困扰Mac OS X 10.4版用户。
Safari浏览器中所包含的两个漏洞也得到了解决,其中一漏洞能够造成Safari浏览器随意执行代码。在前一版本的Mac OS X中,Safari浏览器的地址可以被直接调用,本次升级解决了次问题。
Safari浏览器还存在一个漏洞,能够以错误网站的形式随意发送信息,此漏洞也得到了解决。当Safari浏览器浏览XSL格式页面时,将被送到另一个页面浏览。
