上个月,报告出来了,苹果不小心在内部开发服务器上安装一块假的固件。这是一个教训所有公司要谨慎,他们得到他们的补丁。
可能发生的事情是,一个苹果员工安装一块共享硬件供应商的雇员,而不是使用官方发布的补丁,Chris Nietzold说高级平台工程师安全设备制造商MBX系统。
“他们可能获得从一个非官方固件源和不遵循官方发布时间表,”他说。
固件包含一个潜在的安全漏洞和苹果报道结束了与供应商的关系,超级微型计算机,结果。
公司应该小心以确保他们安装的补丁和更新是官方版本,而不是,说,听到一个问题,用google搜索,从随机源从网上下载一个补丁。
有时,一个供应商的员工提供了一个早期版本的更新。
“很可能是苹果公司的一个工程师正与一个超级微工程师,它可能是意图很好,”他说。“我们见过的场景上演很多次,我们退一步说,我们只要等待官方的固件,但是谢谢你的头。”
将部署大规模的更新,如整个数据中心或多个数据中心,公司应该更加小心在部署之前,Nietzold说。雷竞技电脑网站
“我们所做的,也许苹果没有做什么——只要我们得到任何类型的固件我们首先应用在一个孤立的系统,对其进行测试,确保所有的功能都有,并检查文件的完整性,确保它不是修改从原来的状态,”他说。
固件意外安全问题,或被攻击者故意破坏,可能造成很大的伤害,特别是如果它被广泛部署。
”可以作为一个管道,一个后门,可以开始部署更多他们想要的东西的数据中心,”他说。雷竞技电脑网站“这可能是灾难性的。至关重要的是要理解所有组件来自哪里。”
超级微不会评论的具体情况与苹果,但否认有安全问题的固件。
“我们可以证实,如果任何问题关于出现安全问题,公司彻底调查问题,”该公司在一份声明中说。
”期间我们也可以确认问题在某种程度上,任何安全问题,调查后确定,没有有效的安全问题对超微型计算机产品。超微型计算机认为安全是至关重要的,公司需要任何安全问题非常严重。”
这个故事,“专家:苹果可能已经部署的未经授权的补丁错误”最初发表的方案 。