鎖定蘋果電腦Mac OS X作業系統瑕疵的攻擊程式已於28日在網路上現蹤,使得修補時間更加緊迫。
攻擊碼的出現僅在蘋果釋出其作業系統更新的一天後。該惡意程式係利用系統元件「lauchd」的弱點。賽門鐵克公司29日對顧客發出的安全警告指出:「攻擊者可能利用此問題,自行提高系統權限以執行強制程式。」
蘋果於27日釋出Mac OS X 10.4.7,共修補五個瑕疵,其中四個影響客版Mac OS X,另一個位於ClamAV防毒軟體,會影響伺服器系統。蘋果建議使用者安裝所有的更新。
一名公司代表說:「這個概念驗證碼(利用的瑕疵)已在27日的Mac OS X 10.4.7更新中解決。」製作該程式的Kevin Finisterre是Digital Munition的安全研究員,他也製作過利用蘋果藍芽軟體缺陷,攻擊Mac OS X的電腦蠕蟲Inqtana。他表示,這些行動是為了展現蘋果的軟體並非固若金湯。
蘋果電腦使用者可透過Software Update或個別電腦的安裝器下載Max OS X 10.4.7。Mac OS通常每週自動檢查最近的更新。
另外,蘋果也在29日提供iTunes 6.0.5更新,修補一項可被用來發動阻絕服務式攻擊,或遠端執行程式的安全問題。該公司在其安全網站上表示:「iTunes 6.0.5之前版本的ACC檔案分析程式,含有一個整數溢流弱點。分析到特製的惡意ACC檔,可造成iTunes終止,或可能執行強制程式。」
蘋果表示,受影響的包括Mac OS X 10.2.8之後的各版,和微軟Windows XP與2000版的iTunes。
原文出處
沒有留言:
張貼留言