苹果发布针对 Mac OS X 的41个漏洞补丁

作者: Gregg Keizer/freedom 译 出处:赛迪网　2007-12-21 09:44　   砖    好    评论  条 　进入论坛

阅读提示：与上个月的大型补丁的更新相媲美，苹果最近又另外发布了针对Mac OS X 的41个漏洞的补丁程序。

与上个月的大型补丁的更新相媲美，苹果最近又另外发布了针对Mac OS X 的41个漏洞的补丁程序。

包括星期一的更新，苹果已经在其2007年（到目前为止）的九次安全更新中发布了大约200个漏洞补丁，这九次更新中有四次是针对40多种不同的安全漏洞。

苹果的安全更新Security Update 2007-009对苹果的自己的代码堵上了漏洞，还对它与Tiger和Leopard操作系统集成的一些开源部件打上了补丁。这41个漏洞的接近一半（至少是17个）是以苹果的“任意代码执行”为特征的，这个公司认为某个漏洞极有可能导致恶意软件渗透到一个Mac中去，或使得一个黑客劫持用户的计算机。苹果并没有对其软件的错误进行等级分类，不过其它的厂商，如微软通常将这种漏洞归为“危急”。

运行着Leopard, Mac OS X 10.5.1的Mac所有者，都收到了对in CFNetwork, CUPS, Flash Player Plug-in, Launch Services, Mail, perl, python, Quick Look, ruby, Safari, Samba, Shockwave Plug-in, Software Update， Spin Tracer等安全缺陷的修补程序。Tiger, 或者 Mac OS X 10.4.11都为上述所有的软件打上了补丁，还有Address Book, ColorSync, Core Foundation, Desktop Services, GNU Tar, iChat, IO Storage Family, Safari RSS, SMB, Spotlight, tcpdump, Xquery的更新。

Flash Player的修补程序最初由Opera Software As在今年十月向Adobe Systems 公司报告，不过到今天为止前者并没有开发出一个补丁插件。Opera通过更新其自己的早期的浏览器修正了这个漏洞。

另外一个著名的补丁,二者之一是针对Mac OS X的Launch Services部件。这个漏洞实际上会影响到苹果的邮件系统，因为它“在用户打开一个邮件附件时，无需发出警告，就允许运行一个可执行的邮件附件。”根据苹果的消息，这个漏洞最初是在2006年三月修正的，不过在苹果构建Leopard时不知何故被忽视了。几个安全公司，包括赛门铁克、Intego这个只为Mac提供产品的厂商，都在四个星期之前严厉批评了苹果的过失，当时Heise Security Web的站点发布了这个漏洞。

苹果修正的其它重要部件包括软件更新（Software Update），这个更新有可能被“中间人攻击”利用，通过更新服务引进恶意代码；Tiger的Spotlight的搜索工具，可能被一个非法操纵的微软电子表格文件所利用；而Tiger的iChat视频会议程序，在无需Mac用户的同意情况下，就能够被某个访问本地网络的某人启动,而且有可能被用作一个间谍照相机（Spy Camera）。

苹果还更新了仍处于测试第二版（beta）的Safari，修正了仅一个缺陷。Safari 3.0.4为Windows版本中的一个跨站脚本漏洞打了补丁，用以与包含在Mac版本的Security Update 2007-009中的类似漏洞修正相匹配。

这次安全更新可以手动从苹果的网站上下载，或者用Mac OS X的集成更新工具检索和安装。

【相关文章】

• Apple Mac OS X mach_loader.c文件本地拒绝服务漏洞