苹果发布了第一个安全更新以及OSXLion的第一个主要更新

苹果在相当大的安全更新中修补了其OSX操作系统中的一系列安全问题，以防止潜在的逐行攻击并修复第三方产品中的问题。根据Apple2月1日发布的支持文章，OSX安全更新涵盖SnowLeopard(OSX10.6)和Lion(OSX10.7)。与Microsoft，Oracle和Adobe等主要供应商不同，Apple不发布安全更新。定期地最新安全更新于2011年6月发布，就在该公司发布Lion之前。

安全更新2012-001包括39个修复程序，解决了52个不同的常见漏洞和披露。苹果还修复了另一个与未分配CVE的安全套接字层证书有关的问题。对于运行最新版本的SnowLeopard用户，此更新包含200MB的代码。但是Lion用户将下载700MB到1.4GB之间的任何文件，具体取决于当前安装的确切版本。在此更新中，Lion用户的版本将为10.7.3。

Sophos亚太区技术负责人PaulDucklin在NakedSecurity博客上写道：“这听起来像是您要冒风险的更新，”。

苹果将​​其中的19种修补程序归类为允许“任意代码执行”。达克林说，这些问题本来可以作为开车攻击的一部分加以利用的。根据Ducklin的说法，仅使用恶意文件就可能引发攻击，例如预览字体，听音频文件，观看视频，查看图像或阅读PDF文档。多种文件类型受到影响。

Ducklin说，数据文件不应包含无害的可执行代码，因此用户“合理地”将图像，播客和视频视为对Mac和PC都隐式安全。他说，这就是网络骗子愿意为这些漏洞付费的原因之一，因为它使网络骗子可以使用看似无辜的文件将恶意代码潜入受害者计算机。

由于Apple将第三方产品紧密集成到其操作系统中，因此它除了负责弥补其自身工具中的安全漏洞外，还负责修补所有这些产品。这使得它在某些问题上稍微落后于曲线。

Apache中的“多个漏洞”已修复，SnowLeopard和Lion的台式机和服务器版本现在都运行Apache2.2.21版。该通报认为，最严重的问题CVE20113348可能会导致拒绝服务。远程攻击者可能发送格式错误的HTTP请求，并导致服务器锁定，从而导致暂时拒绝服务状态。

早在9月，Apache就发布并修复了该问题。Oracle在11月对其受影响的产品进行了修补。苹果花了四个多月的时间。

苹果还修复了Apache中的SSL漏洞，该漏洞可能已被“BEAST”攻击工具利用。普遍存在的问题围绕着如何使用CBC模式加密数据。但是该缺陷还可以用于中间人攻击，在中间人攻击中可以解密数据。Apache，Microsoft和Oracle已经修补了其产品中的缺陷。

苹果修复了一个“降级问题”，其中通讯簿如果无法创建加密的连接，则尝试建立未加密的连接。处于“特权网络位置”的攻击者将能够拦截地址簿发送的CardDAV数据。该问题仅影响Lion用户，并且已修复为需要用户批准才能创建未加密的连接。

苹果还撤销了DigiCertMalaysia颁发的证书。去年秋天，有报道称DigiCertMalaysia已颁发了证书，该证书具有无法撤消的弱密钥。攻击者将能够通过DigiCertMalaysia签名的证书来截获用于网站的敏感信息。

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！