Artikel top billede

(Foto: Steve Woods)

Apple retter hele 58 fejl

Apple sender en kæmpeopdatering på gaden men får igen på puklen for at være for langsom.

Computerworld News Service: Apple udsendte i går den største sikkerhedsopdatering siden maj 2009, der lukker 58 sårbarheder i Mac-styresystemet inklusiv adskillige i medieafspilleren QuickTime, som virksomheden rettede separat først i september.

Apple har ifølge en sikkerhedsrapport tilsyneladende også sendt Mac OS X 10.4 kodenavn Tiger på pension. Ingen af sikkerhedsrettelserne rammer denne ældre version af styresystemet, der kom på markedet i april 2005. Apple stopper traditionelt med at levere sikkerhedsopdateringer til den ældste aktuelle version af styresystemet adskillige måneder efter udgivelsen af en ny version.

Denne sikkerhedsopdatering fra Apple er den sjette i år, og den anden, der indeholder rettelser af Snow Leopard, der blev lanceret sidst i august.

"Det virker af lidt meget, men det er faktisk på linje med Apples kurs," siger Andrew Storms, der er sikkerhedsleder hos nCircle Network Security, i en henvisning til det antal fejl, der bliver rettet af opdateringen 2009-006. I maj rettede Apple et rekordantal på 67 sårbarheder, 55 i februar, 33 i september og 19 med to separate opdateringer i august.

"Gudskelov, at Apple ikke udgav denne opdatering i morgen (i dag, tirsdag, red.)," siger Storms. Microsoft, som i modsætning til Apple udgiver sine sikkerhedsopdateringer efter et regulært skema, vil efter planen udgive seks sikkerhedsopdateringer i dag tirsdag, der lukker 15 sårbarheder.

Over halvdelen af de sårbarheder, Apple rettede i går, 32 ud af de 58, bliver ledsaget af frasen "kan føre til eksekvering af arbitrær kode," hvilket betyder, at en fejl er af kritisk omfang og kan bruges af en hacker til at tage kontrol over en Mac. Apple rangerer ikke, hvor alvorlige de fejl, som virksomheden retter, er, i modsætning til andre større softwareleverandører såsom Microsoft og Oracle.

Apple lukker sikkerhedshuller i 37 forskellige komponenter af Mac OS X fra AFP Client og open source-webserver-softwaren Apache til CoreGraphics, Help Viewer og desktop-søgemaskinen Spotlight.

Storms mener, at adskillige af disse sikkerhedshuller har fortjent særlig opmærksomhed heriblandt de fire kritiske i den version af QuickTime, der oprindeligt kom sammen med Mac OS X 10.6 kodenavn Snow Leopard.

"Disse sårbarheder rettede Apple i QuickTime 7.6.4," siger Storms i en bemærkning om, at Apple udsendte separate opdateringer til QuickTime til henholdsvis Mac OS X 10.4 Tiger og 10.5 Leopard 9. september kun 12 dage efter at have lanceret Snow Leopard.

Fejl kan bruges til identitetstyveri

Apple udsendte Snow Leopards første sikkerhedsopdatering 10. september for at rette ni sårbarheder i Adobes Flash Player, som ellers var blevet lukket sidst i juli, men som Apple ikke havde været i stand til at få med i Snow Leopard før lanceringen.

Fem andre rettelser var også udelukkende til Snow Leopard: Et par rettelser af komponenten CoreMedias håndtering af videofiler i formatet H.264, en i ImageIO's håndtering af TIFF-filer samt to i kerne og opstartstjenester.

En af sårbarhederne, der blev rettet i går, som ifølge Apple påvirker komponenten Libsecurity, blev rettet af Microsoft for en måned siden i virksomhedens regelmæssige oktober-opdatering, påpeger Storms. Apple krediterer da også Dan Kaminsky fra IOActive samt Microsofts sårbarheds-undersøgelses-team for at have rapporteret om fejlen, som påvirkede behandlingen af X.509-certifikater. Denne fejl kan udnyttes til at efterligne digitale certifikater på et website som en mulig del af et identitetstyveri.

"Selvom et angreb stadig ikke anses for at være beregningsmæssigt gennemførligt ved at udnytte disse svagheder, så slår denne opdatering understøttelsen af X.509-certifikatet med en MD2-hash fra for enhver anden brug end som et rod-certifikat, der er tillid til," skriver Apple i den medfølgende advisory.

I sidste måned fortalte Microsoft, at der allerede var blevet offentliggjort proof-of-concept-kode, "som gør det muligt for en angriber at udnytte denne sårbarhed i begrænsede scenarier," men understregede også, at virksomheden endnu ikke har iagttaget nogen aktive angreb.

Også adskillige open source-komponenter i Mac OS X blev i går rettet heriblandt Apache, Fetchmail, IPSec, LibXML, OpenLDAP, OpenSSH, PHP, Radius og Subversion. "Jeg undersøgte udgivelsesdatoerne for disse opdateringer for at danne mig en idé om Apple reaktionstid," forklarer Storms. "Apache blev opdateret i juni, Fetchmail, LibXML og Subversion i august og PHP og Radius i september."

Storms og andre sikkerhedseksperter har i nogen tid været kritiske over for Apples til tider sløve opdaterings-tempo for open source-komponenterne i Mac OS X. "For at kværulere om sagen endnu en gang - hvis Apple vil distribuere open source-kode og -applikationer, så må virksomheden begynde at lukke hullerne her noget hurtigere," siger Storms. "Det var ret vigtigt at få nogle af de her sårbarheder lukket såsom i PHP og LibXML, og her var Apple denne gang rimelig hurtig. Men fejlen i OpenSSH blev faktisk rettet for over et år siden."

Sikkerhedsopdateringen kan downloades fra Apples website eller installeres ved hjælp af Mac OS X's integrerede opdateringstjeneste. Brugere af Snow Leopard vil dog ikke se disse sikkerhedsrettelser som en separat opdatering, da de er en del af Mac OS X 10.6.2-opgraderingen, der også udkom i går.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere