Відео: How to Reinstall Apple OS X Mountain Lion (Вересень 2024)
Apple виправила ряд серйозних уразливостей в OS X, веб-браузері Safari та декількох сторонніх пакетів у рамках значного оновлення. Виправлення доступні в Software Update, і користувачі повинні переконатися, що виправлення застосовуються негайно.
Оновлення, які впливають на всі підтримувані версії OS X – Mountain Lion (10.8), Lion (10.7) та Snow Leopard (10.6) - та усунули кілька недоліків у виконанні віддаленого коду в операційній системі та Safari, повідомляє Apple у своєму дорадчому повідомленні, розміщеному вчора. . Патчі також стосувались питань у QuickTimes та впровадженні OS X OpenSSL та Ruby в OS X. Наразі клопи Ruby експлуатуються в дикій природі.
Нещодавно в Ruby on Rails було виявлено кілька уразливостей, найсерйозніша з яких може призвести до того, що зловмисники віддалено виконують код у системах, на яких працює програми Rails. Apple вирішила вісім різних вразливостей, оновивши Ruby on Rails в OS X до версії 2.3.18. Ця проблема, ймовірно, торкнеться систем OS X Lion або OS X Mountain Lion, які були оновлені з Mac OS X 10.6.8 або новішої версії, зазначив Apple.
Виправлення OS X
Apple виправила кілька помилок виконання віддаленого коду в операційній системі. Зловмисники можуть скористатися однією з таких недоліків у компоненті CoreAnimation, де все, що потрібно зробити користувачеві, - це перейти до зловмисно створеної URL-адреси, щоб отримати компроміс. Ще одна помилка в компоненті відтворення він може бути використаний зі шкідливим чином створеним файлом фільму, сказала Apple. Існують чотири різні виправлення для усунення недоліків у віддаленому виконанні коду QuickTime, які можуть бути використані шкідливими файлами MP3, FPX, QTIF та іншими фільмами.
Ще одна серйозна помилка у віддаленому виконанні коду була в компоненті Служба каталогів, але вона торкнулася лише користувачів із системами Snow Leopard, які включили послугу. Служба каталогів відстежує всю інформацію про аутентифікацію користувачів та групи за допомогою різних платформ, включаючи Active Directory, LDAP, AppleTalk та обмін файлами SMB. Apple замінила дієтологічну службу на Open Directory у Lion та Mountaion Lion.
Зловмисники можуть скористатися вадою, надіславши зловмисне програмне повідомлення по мережі, щоб спричинити збій сервера каталогів або віддалене виконання коду, повідомляє Apple.
OpenSSL, питання Safari
Apple виправила 13 проблем у OpenSSL, одна з яких дозволила б зловмисникам запустити атаку CRIME, де зловмисник міг розшифрувати захищені SSL сеанси. Атака стиснення на TLS 1.0 була розроблена дослідниками безпеки Thai Duong та Juliano Rizzo.
Новий Safari, версія 6.0.5, виправляв 23 чіткі вразливості віддаленого виконання коду та три недоліки сценаріїв між сайтом. Усі проблеми стосувалися двигуна WebKit, який забезпечує повноваження браузера.
"У WebKit існувало декілька проблем з корупцією пам'яті", - зазначила Apple у своїх рекомендаціях.
Ці проблеми піддають користувачів Mac атак зараження за допомогою перегляду веб-сторінок, і зловмисники зможуть виконувати код за межами браузера та безпосередньо в системі, не вимагаючи дозволу користувача. Помилки скриптових сценаріїв також дозволяють зловмисникам створювати шкідливі веб-сайти, що містять елементи з законних сторінок, щоб наводити користувачів на думку, що ці підроблені сайти є надійними.
Отримайте це оновлення
Користувачі, які використовують оновлення програмного забезпечення Apple, отримують правильне оновлення автоматично. Користувачам, які вирішили зробити це вручну, потрібно захопити оновлення OS X 10.8.4 (до якого належить Safari 6.0.5) для Mountaion Lion та оновлення безпеки 2013-002 (що не включає оновлення Safari) для Snow Leopard і Lion систем. Зверніть увагу, що Snow Leopard не отримує нову версію Safari, як і раніше на Safari 5.
