ビデオ: La Voz De WNY (十一月 2024)
Appleは、OS X、Safari Webブラウザー、およびいくつかのサードパーティパッケージの重大な脆弱性を、大幅なアップデートの一部として修正しました。 パッチはソフトウェアアップデートで入手できます。ユーザーは修正がすぐに適用されることを確認してください。
Appleは昨日掲載されたアドバイザリーで、OS Xのすべてのサポートされているバージョン-Mountain Lion(10.8)、Lion(10.7)、Snow Leopard(10.6)に影響し、オペレーティングシステムとSafariのいくつかのリモートコード実行の欠陥を修正しました。 このパッチは、QuickTimesおよびOpenSSLとRubyのOS X実装の問題にも対処しました。 現在、Rubyのバグは悪用されています。
最近、Ruby on Railsに複数の脆弱性が確認されました。最も深刻なものは、Railsアプリケーションを実行しているシステムで攻撃者がリモートでコードを実行する可能性があります。 Appleは、OS XのRuby on Railsをバージョン2.3.18に更新することにより、8つの異なる脆弱性に対処しました。 この問題は、Mac OS X 10.6.8以前からアップグレードされたOS X LionまたはOS X Mountain Lionシステムに影響を与える可能性が高いとAppleは述べています。
OS Xの修正
Appleは、オペレーティングシステムのいくつかのリモートコード実行のバグを修正しました。 攻撃者は、CoreAnimationコンポーネントのこのような欠陥を悪用する可能性があります。ユーザーがしなければならないのは、悪意を持って作成されたURLを参照して侵害を受けることです。 Appleによると、Playbackコンポーネントの別のバグは、悪意を持って作成されたムービーファイルで悪用される可能性があります。 悪意を持って作成されたMP3、FPX、QTIF、およびその他のムービーファイルによって悪用される可能性のあるリモートコード実行の欠陥を修正するQuickTime用の4つの異なるパッチがあります。
別の深刻なリモートコード実行のバグはディレクトリサービスコンポーネントにありましたが、サービスを有効にしているSnow Leopardシステムを使用しているユーザーにのみ影響しました。 ディレクトリサービスは、Active Directory、LDAP、AppleTalk、SMBファイル共有などのさまざまなプラットフォームを使用して、すべてのユーザーおよびグループ認証情報を追跡します。 AppleはDiectory ServiceをLionおよびMountaion LionのOpen Directoryに置き換えました。
Appleによると、攻撃者は悪意を持って作成されたメッセージをネットワーク経由で送信し、ディレクトリサーバーをクラッシュさせたり、リモートでコードを実行したりすることで、この欠陥を悪用する可能性があります。
OpenSSL、Safariの問題
AppleはOpenSSLの13の問題を修正しました。その1つは、攻撃者がCRIME攻撃を開始できるようにし、攻撃者はSSLで保護されたセッションを解読できます。 TLS 1.0に対する圧縮攻撃は、セキュリティ研究者のタイドゥオンとジュリアノリッツォによって開発されました。
新しいSafariバージョン6.0.5は、23の異なるリモートコード実行の脆弱性と3つのクロスサイトスクリプティングの欠陥を修正しました。 問題はすべて、ブラウザを動かすWebKitエンジンに関連していました。
「WebKitには複数のメモリ破損の問題が存在しました」とAppleはその勧告で述べています。
これらの問題により、Macユーザーはブラウジングによる攻撃にさらされ、攻撃者はユーザーの承認を必要とせずにブラウザーの外部でシステム上で直接コードを実行できます。 クロスサイトスクリプティングのバグにより、攻撃者は正当なページの要素を含む悪意のあるサイトを作成し、これらのスプーフィングされたサイトが信頼できるとユーザーに思わせることができます。
そのアップデートを入手
Appleのソフトウェアアップデートを使用するユーザーは、正しいアップデートを自動的に取得します。 手動で行うことを決定したユーザーは、Mountaion LionのOS X 10.8.4アップデート(Safari 6.0.5を含む)とSnow LeopardおよびLionのセキュリティアップデート2013-002(Safariアップデートを含まない)を入手する必要があります。システム。 Snow LeopardはまだSafari 5にあるため、新しいSafariバージョンを取得できないことに注意してください。