苹果周一发布了针对56个雪豹漏洞的补丁,其中大部分可以被用来劫持用户的电脑。
苹果(Apple)周一修补了56个漏洞,其中大多数是可能被用来劫持电脑的关键漏洞,这是苹果2011年对Mac OS X进行的首次大范围更新的一部分。
其中一个补丁是针对曾四次获得Pwn2Own冠军的Charlie Miller在本月早些时候的黑客竞赛中没有机会使用的一个漏洞。
在针对雪豹的更新补丁中的56个bug中,有45个带有“任意代码执行”的措辞,这是苹果将这些缺陷评为“严重”的说法。Unlike many other major software makers, like Microsoft and Oracle, Apple doesn't assign severity rankings to vulnerabilities.
根据苹果公司的顾问当受害者浏览到一个带有未修补的Mac OS X版本的恶意网站时,“驱动式”攻击就会执行十几个漏洞。
其中有几个属于Apple Type Services (ATS),它是操作系统的字体渲染器,可以被嵌入特殊字体的恶意文档所利用。在这四个漏洞中,苹果的竞争对手谷歌的研究人员报告了两个。
其他的驱动攻击可以利用Mac OS X的ImageIO组件中的6个漏洞、QuickTime中的5个漏洞和QuickLook(操作系统的文档预览工具)中的2个漏洞来发动。
其中一个是由总部位于巴尔的摩的独立安全评估咨询公司(ISE)的研究人员查理·米勒(Charlie Miller)和迪昂·布拉泽基斯(Dion Blazakis)发现的。米勒连续四年在Pwn2Own黑客挑战赛上获得现金奖励,他和布拉斯塔克斯计划在比赛中使用他们的QuickLook漏洞来攻击Mac OS X和苹果的Safari浏览器。
但由于米勒和布拉萨克斯克斯在Pwn2Own大会上被发现太晚,他们无法使用这个漏洞:来自法国安全公司Vupen的一个团队率先破解了这个漏洞,破解了Safari,劫持了一台MacBook Air,以另一个漏洞赢得了1.5万美元的奖金。
[Mac OS X] 10.6.7修复了大量的bug。它至少屠杀了4我坐在包括我的OS X条目pwn2own我没有使用,”米勒在一个a说周一推。
Miller和Blazakis将他们未使用的漏洞和利用漏洞卖给了HP TippingPoint的零日倡议(ZDI), Pwn2Own的赞助商。
在Pwn2Own的第二天,Miller和Blazakis利用了另一个漏洞破解苹果iPhone然后带走了他们自己的1.5万美元支票。
对Mac OS X 10.6.7的更新也得到了修复几个非安全性漏洞包括机场Wi-Fi驱动程序的问题,并提供了许多增强,例如提高了MobileMe的Back to Mac远程访问技术的可靠性。
的用户新款MacBook Pro笔记本电脑苹果表示,这两款笔记本电脑还将“提高图形稳定性和外部显示器的兼容性”。这是苹果首次推出英特尔(Intel) Sandy Bridge系列处理器。
苹果的支持论坛一直在充斥着抱怨新的MacBook pro在处理图形处理的压力下会锁定。
Mac OS X 10.6.7和单独的2011-001 Leopard安全更新可以从苹果网站下载或使用操作系统的集成更新服务安装。
对于Snow Leopard和Leopard的客户端版本,更新下载的大小在241MB到475MB之间。
Gregg Keizer为计算机世界涵盖微软,安全问题,苹果,网络浏览器和一般技术的突发新闻。在推特上关注格雷格@gkeizer,或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@ix.netcom.com。
阅读更多关于恶意软件和漏洞在计算机世界的恶意软件和漏洞主题中心。
这个故事,“苹果补丁未使用Pwn2Own bug, 55其他在Mac OS”最初发表《计算机世界》 。