苹果发布08年首个安全补丁更新 修补1年前老漏洞

【51CTO.com 独家翻译】2008年2月18日，据国外媒体报道，苹果公司近日发布了2008年第一个安全补丁更新，修复了OS X Leopard and Tiger的安全漏洞。此次安全更新修正了Time Machine，家长控制，邮件和Safari浏览器等应用程序的11个漏洞。

这些更新还包括修补目录服务漏洞的补丁，这一漏洞曾在2007年1月的“苹果漏洞月”活动中公布过，最早由Netragard的Kevin Finisterre发现。此漏洞可能引起堆栈缓存器溢出问题，导致本地用户强制执行具有系统权限的任意代码。苹果公司在更新中指出这一安全漏洞不会影响Leopard用户。

英国安全机构SophosLabs的一位高管说：“因为这个漏洞属于一项升级特权，攻击者想要利用它必须想办法登陆你的电脑。很显然，这就限制了攻击者对这个特别的漏洞的使用。”除了等待一年之久的补丁，SophosLabs的高管还指出，目前为止还没有发现这一漏洞被用于实施网络犯罪。

Frost & Sullivan 的研究人员指出：“从理论上讲，让大家花费这么长的时候等待补丁的发布，这一行为是令人震惊的，但是苹果公司在精心策划下决定冒险一次。他们没有及时发布补丁而是忙于Leopard，然而他们的运气的确很好。”

在苹果最新发布的需要升级的11个漏洞中，Mail 和Foundation的漏洞被认为是危害等级最大的。因为他们允许执行任意代码。如果黑客能引诱用户访问设计好的恶意网页，那么苹果终端的漏洞也可能导致任意代码执行。该漏洞允许攻击者利用被控制的启动参数开始一个应用程序，从而导致执行任意代码。

IBM ISS公司指出，任意代码执行的威胁也扩展到了其他设备上。基础漏洞除了影响Leopard 和Tiger，给iPods和iPhones用户也带来很大的危险。

苹果公司建议用户升级到最新版本的Apple iPod touch和iPhone 1.1.3或者更新版本。Mac用户也同样需要下载2008-001安全补丁。苹果公司指出，对于Mac的用户可能存在着其他的风险，当用户试着管理网络内容而取消被禁止访问的网址时，家长控制的漏洞可能会无意中泄漏应用程序的设置。家长控制会自动连接苹果公司的网站，这就有可能使远程用户发现运行该程序的计算机。此次更新通过删除向外发送的网络通信量的方法成功的解决了这一问题。