Ujawniono nowe luki w zabezpieczeniu systemu Mac OS X
Wed艂ug Ferrisa, najpowa偶niejsza luka dotyczy przegl膮darki Safari w wersji 2.0.3 i wszystkich starszych wersjach. Wykryto b艂臋dy w funkcjach obs艂uguj膮cych znaczniki HTML, kt贸re mog膮 spowodowa膰 awari臋 aplikacji lub pozwoli膰 osobie atakuj膮cej na wykonanie dowolnego kodu na komputerze ofiary.
Inne zg艂oszone luki w zabezpieczeniu zosta艂y ocenione jako umiarkowanie krytyczne i dotycz膮 problem贸w w OS X wyst臋puj膮cych podczas obs艂ugi wadliwych plik贸w graficznych takich jak BMP, GIF oraz TIFF. Mo偶liwy scenariusz ataku zak艂ada stworzenie przez szkodliwego u偶ytkownika specjalnie spreparowanego obrazu, kt贸ry spowoduje awari臋 programu do przegl膮dania lub edycji plik贸w graficznych, takich jak aplikacje Safari of Preview, a nawet pozwoli na wykonanie dowolnego kodu.
Pozosta艂a luka r贸wnie偶 zosta艂a oceniona jako umiarkowanie krytyczna i wyst臋puje na skutek przepe艂nienia sterty (ang. heap overflow) w domy艣lnej aplikacji obs艂uguj膮cej pliki ZIP w systemie Mac OS X. Luka ta r贸wnie偶 powoduje awari臋 aplikacji i mo偶e pozwoli膰 na wykonanie dowolnego kodu na komputerze ofiary.
Secunia ocenia te luki jako “wysoce krytyczne”, poniewa偶 mog膮 one pozwoli膰 na zdalne wykonanie kodu i przeprowadzenie atak贸w DoS. Tom Ferris twierdzi, ze wszystkie te luki zosta艂y zg艂oszone firmie Apple jeszcze w styczniu. Z kolei firma Apple zapewnia, 偶e luki te zostan膮 usuni臋te w udost臋pnionej wkr贸tce 艂acie, jednak odmawia podania konkretnych szczeg贸艂贸w dotycz膮cych daty jej publikacji. “To, jak szybko zostanie udost臋pniona 艂ata, zale偶y od wielu czynnik贸w zwi膮zanych z tym, jak wiele informacji uzyskamy i jak z艂o偶one oka偶膮 si臋 problemy” - powiedzia艂 Bud Tribble z firmy Apple. Podkre艣li艂 r贸wnie偶, 偶e firma Apple wola艂aby, gdyby informacje o lukach w zabezpieczeniu nie zosta艂y publicznie udost臋pnione. “S膮dzimy, 偶e nasi klienci nic nie zyskaj膮 na publicznym ujawnieniu informacji o potencjalnych problemach bezpiecze艅stwa” - cytuje jego wypowied藕 ZDNet. “Uwa偶amy, 偶e o problemach bezpiecze艅stwa zasadniczo powinny zosta膰 poinformowane tylko te osoby, kt贸re potrafi膮 naprawi膰 b艂臋dy”.
殴r贸d艂o:![]() ![]() |