Video: OS X El Capitan Won't Install! Why? - Krazy Ken's Tech Misadventures (November 2024)
Apple heeft een aantal ernstige kwetsbaarheden in OS X, de Safari-webbrowser en een aantal pakketten van derden opgelost als onderdeel van een substantiële update. De patches zijn beschikbaar via Software-update en gebruikers moeten ervoor zorgen dat de fixes onmiddellijk worden toegepast.
De updates, die van invloed zijn op alle ondersteunde versies van OS X – Mountain Lion (10.8), Lion (10.7) en Snow Leopard (10.6) - en hebben verschillende fouten in de uitvoering van externe code in het besturingssysteem en Safari opgelost, zei Apple in het advies dat gisteren is gepost. De patches hebben ook problemen opgelost in QuickTimes en de OS X-implementatie van OpenSSL en Ruby. De Ruby-bugs worden momenteel in het wild uitgebuit.
Er zijn recentelijk meerdere kwetsbaarheden geïdentificeerd in Ruby on Rails, waarvan de ernstigste kan leiden tot het op afstand uitvoeren van code op systemen met Rails-applicaties. Apple loste acht verschillende kwetsbaarheden op door Ruby on Rails in OS X bij te werken naar versie 2.3.18. Dit probleem is waarschijnlijk van invloed op OS X Lion- of OS X Mountain Lion-systemen die zijn geüpgraded van Mac OS X 10.6.8 of eerder, zei Apple.
OS X-oplossingen
Apple heeft verschillende externe bugs in het besturingssysteem opgelost. Aanvallers kunnen een dergelijke fout in de CoreAnimation-component misbruiken, waarbij de gebruiker alleen hoeft te bladeren naar een kwaadwillig vervaardigde URL om een compromis te sluiten. Een andere fout in de component Afspelen kon worden misbruikt met een kwaadwillig vervaardigd filmbestand, zei Apple. Er zijn vier verschillende patches voor QuickTime om externe code-uitvoeringsfouten op te lossen die kunnen worden misbruikt door kwaadwillig vervaardigde MP3-, FPX-, QTIF- en andere filmbestanden.
Een andere ernstige fout bij het uitvoeren van externe code zat in de Directory Service-component, maar deze trof alleen gebruikers met Snow Leopard-systemen die de service hebben ingeschakeld. Directory Service houdt alle authenticatie-informatie van gebruikers en groepen bij met behulp van verschillende platforms, waaronder Active Directory, LDAP, AppleTalk en SMB-bestandsuitwisseling. Apple verving Diectory Service door Open Directory in Lion en Mountaion Lion.
Aanvallers konden het lek misbruiken door een kwaadwillig vervaardigd bericht via het netwerk te verzenden om de directoryserver te laten crashen of code op afstand uit te voeren, zei Apple.
OpenSSL, Safari-problemen
Apple heeft 13 problemen in OpenSSL opgelost, waardoor een aanvaller de CRIME-aanval kon starten, waarbij een aanvaller SSL-beveiligde sessies kon decoderen. De compressieaanval op TLS 1.0 is ontwikkeld door beveiligingsonderzoekers Thai Duong en Juliano Rizzo.
De nieuwe Safari, versie 6.0.5, repareerde 23 verschillende kwetsbaarheden voor externe code-uitvoering en drie cross-site scripting fouten. De problemen hadden allemaal te maken met de WebKit-engine die de browser aanstuurt.
"Er bestonden meerdere problemen met geheugenbeschadiging in WebKit, " zei Apple in zijn advies.
Deze problemen stellen Mac-gebruikers bloot aan infecties door te bladeren en de aanvallers zouden code buiten de browser en rechtstreeks op het systeem kunnen uitvoeren zonder toestemming van de gebruiker. Cross-site scripting bugs stellen aanvallers ook in staat kwaadaardige sites te maken die elementen bevatten van legitieme pagina's om gebruikers te misleiden om te denken dat deze vervalste sites betrouwbaar zijn.
Krijg die update
Gebruikers die Apple's Software Update gebruiken, ontvangen automatisch de juiste update. Gebruikers die besluiten dit handmatig te doen, moeten de OS X 10.8.4-update (inclusief Safari 6.0.5) voor Mountaion Lion en beveiligingsupdate 2013-002 (zonder de Safari-update) voor Snow Leopard en Lion ophalen systemen. Houd er rekening mee dat Snow Leopard de nieuwe Safari-versie niet krijgt, omdat deze nog steeds op Safari 5 staat.
