Video: Apple Macintosh и Mac OS X. Часть 1: Как всё начиналось... (Oktober 2024)
Apple memperbaiki sejumlah kerentanan serius di OS X, browser Web Safari, dan beberapa paket pihak ketiga sebagai bagian dari pembaruan substansial. Tambalan tersedia pada Pembaruan Perangkat Lunak dan pengguna harus memastikan perbaikan segera diterapkan.
Pembaruan, yang mempengaruhi semua versi OS X-Mountain Lion (10.8), Lion (10.7) dan Snow Leopard (10.6) yang didukung -dan menutup beberapa kelemahan eksekusi kode jarak jauh dalam sistem operasi dan Safari, kata Apple dalam penasehatnya yang diposting kemarin. Tambalan juga membahas masalah di QuickTimes dan implementasi OS X dari OpenSSL dan Ruby. Bug Ruby saat ini dieksploitasi di alam liar.
Beberapa kerentanan baru-baru ini telah diidentifikasi di Ruby on Rails, yang paling serius dapat mengakibatkan penyerang mengeksekusi kode dari jauh pada sistem yang menjalankan aplikasi Rails. Apple membahas delapan kerentanan berbeda dengan memperbarui Ruby on Rails di OS X ke versi 2.3.18. Masalah ini kemungkinan akan berdampak pada sistem OS X Lion atau OS X Mountain Lion yang ditingkatkan dari Mac OS X 10.6.8 atau sebelumnya, kata Apple.
Perbaikan OS X
Apple memperbaiki beberapa bug eksekusi kode jarak jauh di sistem operasi. Penyerang dapat mengeksploitasi salah satu kelemahan seperti itu dalam komponen CoreAnimation, di mana yang harus dilakukan pengguna adalah menjelajah ke URL yang dibuat dengan berbahaya untuk dikompromikan. Bug lain dalam komponen Playback dapat dieksploitasi dengan file film perusak yang berbahaya, kata Apple. Ada empat tambalan yang berbeda untuk QuickTime memperbaiki kelemahan eksekusi kode jarak jauh yang dapat dieksploitasi oleh MP3, FPX, QTIF, dan file film buatan perusak lainnya.
Bug eksekusi kode jauh lain yang serius ada di komponen Layanan Direktori, tetapi hanya memengaruhi pengguna dengan sistem Snow Leopard yang telah mengaktifkan layanan. Layanan Direktori melacak semua informasi otentikasi pengguna dan grup menggunakan berbagai platform, termasuk Active Directory, LDAP, AppleTalk, dan berbagi file SMB. Apple mengganti Diectory Service dengan Open Directory di Lion dan Mountaion Lion.
Penyerang dapat mengeksploitasi cacat dengan mengirimkan pesan jahat yang dibuat melalui jaringan untuk menyebabkan server direktori crash atau mengeksekusi kode dari jarak jauh, kata Apple.
OpenSSL, Masalah Safari
Apple memperbaiki 13 masalah di OpenSSL, salah satunya akan memungkinkan penyerang meluncurkan serangan CRIME, di mana penyerang dapat mendekripsi sesi yang dilindungi SSL. Serangan kompresi pada TLS 1.0 dikembangkan oleh peneliti keamanan Thailand Duong dan Juliano Rizzo.
Safari baru, versi 6.0.5, memperbaiki 23 kerentanan eksekusi kode jarak jauh yang berbeda dan tiga cacat skrip lintas situs. Semua masalah terkait dengan mesin WebKit yang memberi daya pada browser.
"Berbagai masalah kerusakan memori muncul di WebKit, " kata Apple dalam nasehatnya.
Masalah-masalah ini membuat pengguna Mac terkena infeksi-oleh-penelusuran serangan, dan para penyerang akan dapat mengeksekusi kode di luar browser dan langsung pada sistem tanpa memerlukan otorisasi pengguna. Bug skrip lintas situs juga memungkinkan penyerang untuk membuat situs jahat yang mengandung elemen dari halaman yang sah untuk mengelabui pengguna agar menganggap situs spoof ini dapat dipercaya.
Dapatkan Pembaruan Itu
Pengguna yang menggunakan Pembaruan Perangkat Lunak Apple mendapatkan pembaruan yang benar secara otomatis. Pengguna yang memutuskan untuk melakukannya secara manual perlu mengambil pembaruan OS X 10.8.4 (yang mencakup Safari 6.0.5) untuk Mountaion Lion dan Pembaruan Keamanan 2013-002 (yang tidak termasuk pembaruan Safari) untuk Snow Leopard dan Lion sistem. Harap dicatat bahwa Snow Leopard tidak mendapatkan versi Safari baru karena masih di Safari 5.
