苹果发布针对 Mac OS X 的41个漏洞补丁

与上个月的大型补丁的更新相媲美,苹果最近又另外发布了针对Mac OS X 的41个漏洞的补丁程序。

包括星期一的更新,苹果已经在其2007年(到目前为止)的九次安全更新中发布了大约200个漏洞补丁,这九次更新中有四次是针对40多种不同的安全漏洞。

苹果的安全更新Security Update 2007-009对苹果的自己的代码堵上了漏洞,还对它与Tiger和Leopard操作系统集成的一些开源部件打上了补丁。这41个漏洞的接近一半(至少是17个)是以苹果的"任意代码执行"为特征的,这个公司认为某个漏洞极有可能导致恶意软件渗透到一个Mac中去,或使得一个黑客劫持用户的计算机。苹果并没有对其软件的错误进行等级分类,不过其它的厂商,如微软通常将这种漏洞归为"危急"。

运行着Leopard, Mac OS X 10.5.1的Mac所有者,都收到了对in CFNetwork, CUPS, Flash Player Plug-in, Launch Services, Mail, perl, python, Quick Look, ruby, Safari, Samba, Shockwave Plug-in, Software Update, Spin Tracer等安全缺陷的修补程序。Tiger, 或者 Mac OS X 10.4.11都为上述所有的软件打上了补丁,还有Address Book, ColorSync, Core Foundation, Desktop Services, GNU Tar, iChat, IO Storage Family, Safari RSS, SMB, Spotlight, tcpdump, Xquery的更新。

Flash Player的修补程序最初由Opera Software As在今年十月向Adobe Systems 公司报告,不过到今天为止前者并没有开发出一个补丁插件。Opera通过更新其自己的早期的浏览器修正了这个漏洞。

另外一个著名的补丁,二者之一是针对Mac OS X的Launch Services部件。这个漏洞实际上会影响到苹果的邮件系统,因为它"在用户打开一个邮件附件时,无需发出警告,就允许运行一个可执行的邮件附件。"根据苹果的消息,这个漏洞最初是在2006年三月修正的,不过在苹果构建Leopard时不知何故被忽视了。几个安全公司,包括赛门铁克、Intego这个只为Mac提供产品的厂商,都在四个星期之前严厉批评了苹果的过失,当时Heise Security Web的站点发布了这个漏洞。

苹果修正的其它重要部件包括软件更新(Software Update),这个更新有可能被"中间人攻击"利用,通过更新服务引进恶意代码;Tiger的Spotlight的搜索工具,可能被一个非法操纵的微软电子表格文件所利用;而Tiger的iChat视频会议程序,在无需Mac用户的同意情况下,就能够被某个访问本地网络的某人启动,而且有可能被用作一个间谍照相机(Spy Camera)。

苹果还更新了仍处于测试第二版(beta)的Safari,修正了仅一个缺陷。Safari 3.0.4为Windows版本中的一个跨站脚本漏洞打了补丁,用以与包含在Mac版本的Security Update 2007-009中的类似漏洞修正相匹配。

这次安全更新可以手动从苹果的网站上下载,或者用Mac OS X的集成更新工具检索和安装。