Apple исправляет серьезные недостатки, о которых вы не знали в OS X

Apple исправила ряд серьезных уязвимостей в OS X, веб-браузере Safari и нескольких сторонних пакетах в рамках существенного обновления. Патчи доступны в обновлении программного обеспечения, и пользователи должны убедиться, что исправления применены немедленно.

Обновления, которые затрагивают все поддерживаемые версии OS X - Mountain Lion (10.8), Lion (10.7) и Snow Leopard (10.6) - и закрыли несколько недостатков удаленного выполнения кода в операционной системе и Safari, говорится в сообщении Apple, опубликованном вчера, Патчи также устраняли проблемы в QuickTimes и OSX-реализации OpenSSL и Ruby. Ошибки Ruby в настоящее время эксплуатируются в дикой природе.

В Ruby on Rails недавно были обнаружены многочисленные уязвимости, наиболее серьезная из которых может привести к тому, что злоумышленники удаленно выполнят код в системах, работающих с приложениями Rails. Apple устранила восемь различных уязвимостей, обновив Ruby on Rails в OS X до версии 2.3.18. Эта проблема, скорее всего, повлияет на системы OS X Lion или OS X Mountain Lion, которые были обновлены с Mac OS X 10.6.8 или более ранней версии.

OS X Исправления

Apple исправила несколько ошибок удаленного выполнения кода в операционной системе. Злоумышленники могут использовать один из таких недостатков в компоненте CoreAnimation, когда все, что нужно сделать пользователю, - это перейти по вредоносному URL-адресу, чтобы получить доступ к нему. По словам Apple, еще одна ошибка в компоненте Playback может быть использована со злонамеренно созданным файлом фильма. Существует четыре различных патча для QuickTime, исправляющих ошибки удаленного выполнения кода, которые могут быть использованы злонамеренно созданными MP3, FPX, QTIF и другими файлами фильмов.

Еще одна серьезная ошибка при удаленном выполнении кода была в компоненте службы каталогов, но она затрагивала только пользователей с системами Snow Leopard, которые включили эту службу. Служба каталогов отслеживает всю информацию об аутентификации пользователей и групп, используя различные платформы, включая Active Directory, LDAP, AppleTalk и общий доступ к файлам SMB. Apple заменила Diectory Service на Open Directory в Lion и Mountaion Lion.

По словам Apple, злоумышленники могут воспользоваться этой уязвимостью, отправив по сети вредоносное сообщение, которое может привести к сбою сервера каталогов или удаленному выполнению кода.

OpenSSL, Safari Issues

Apple исправила 13 ошибок в OpenSSL, одна из которых позволила бы злоумышленникам запустить атаку CRIME, где злоумышленник может расшифровать сеансы, защищенные SSL. Атака сжатия на TLS 1.0 была разработана исследователями безопасности Тай Дуонг и Джулиано Риццо.

Новый Safari, версия 6.0.5, исправил 23 различных уязвимости удаленного выполнения кода и три ошибки межсайтового скриптинга. Все проблемы были связаны с движком WebKit, который обеспечивает работу браузера.

«В WebKit существовало множество проблем с повреждением памяти», - говорится в сообщении Apple.

Эти проблемы подвергают пользователей Mac заражению атаками с помощью просмотра, и злоумышленники смогут выполнять код вне браузера и непосредственно в системе без необходимости авторизации пользователя. Ошибки межсайтового скриптинга также позволяют злоумышленникам создавать вредоносные сайты, содержащие элементы с законных страниц, чтобы обманом заставить пользователей думать, что эти поддельные сайты заслуживают доверия.

Получить это обновление

Пользователи, использующие Apple Software Update, получают правильное обновление автоматически. Пользователи, которые решат сделать это вручную, должны будут загрузить обновление OS X 10.8.4 (которое включает Safari 6.0.5) для Mountaion Lion и Обновление безопасности 2013-002 (которое не включает обновление Safari) для Snow Leopard и Lion системы. Обратите внимание, что Snow Leopard не получает новую версию Safari, поскольку она все еще используется в Safari 5.