苹果公司修复数月前的Java漏洞

DoSECU 安全报道  6月19日消息:苹果电脑公司日前发布了Mac OS X系统补丁,对半年就已经公开的一种严重的Java安全漏洞进行修正,这也招致了安全专家的批评。

这个漏洞对许多运行Java的平台都造成了影响,多数其他的操作系统厂商早在几周前就对其进行了补丁。苹果公司表示他们本周一发布的补丁升级了Mac OS X系统的Java代码,包括去年12月由SUN交付的安全修正。

Mac OS X 10.5.7和Mac OS X 10.4.11系统中的漏洞已经被修正,用户可以从苹果网站或者通过OS X系统内置的软件升级组件完成补丁升级。

今年5月,安全专家Julien Tinnes公开了OS X系统中存在的漏洞,之后他强调说苹果公司并没有在最新的补丁中包括对这个漏洞的修正。他在博客中写道"不幸的是,就在几天前苹果公司的最新安全补丁升级中仍然没有对这个漏洞进行补丁"。

安全公司Intego也加入到对苹果的指责队伍当中,公司在一份咨询报告中表示"自从漏洞被公开后,苹果公司至少在5个月前就知道了这个漏洞的存在,但是他们在保护系统不受漏洞影响的安全升级措施上置若罔闻"。

也是在5月,安全专家Landon Fuller发布了这个漏洞对Mac系统造成的危险所做的证据演示,但"不幸的是,看起来许多Mac OS X的安全问题都被忽略了,问题的严重性还没有引起足够的重视"。

这个漏洞(存在于Common Vulnerabilities和Exposures database中的CVE-2008-5353)在去年8月首次汇报给了SUN,SUN在11月进行了补丁修正。这个漏洞会允许远程攻击者侵入系统,被安全厂商Secunia评级为"高风险"级别。

利用漏洞的攻击行为会直接写入JAVA代码,这就意味着他们可以在多重平台上工作,Tinnes表示。他推荐Mac OS X用户终止他们网络浏览器上的Java。

Tinnes写道"这是一个纯粹的Java攻击,意味着单纯的java会100%中招。这种攻击会在所用的平台,基础架构和浏览器上发作"。

在Mac OS X系统中Firefox和Safari这种Java浏览器都是缺省激活的,Tinnes表示他已经成功发现出这两种浏览器中的Java漏洞。