Computerworld News Service: Tirsdagens sikkerhedsopdatering er den største fra Apple siden marts 2008.
"Opdateringer på denne størrelse er ved at blive normale for Apple," siger Andrew Storms, som er director of security operations hos nCircle Network Security.
Security Update 2009-002, som blev udgivet sammen med opgraderingen af Leopard til Mac OS X 10.5.7, men som er tilgængelig for sig selv for brugere af Tiger, lukker huller i BIND, CoreGraphics, Disk Images, Flash Player, iChat, Kerberos, QuickDraw Manager, Safari, Spotlight, WebKit og andre dele rundt omkring i styresystemet.
Mere end en tredjedel af de rettede fejl er i open source-komponenter eller -applikationer, som Apple integrerer med Mac OS X heriblandt Apache web-serveren og Safari-browserens rendering-engine, WebKit.
"Jeg oplever ikke, at Apple arbejder hurtigere," vurderer Storms med en henvisning til tidligere kritik om, at virksomheden konsekvent lukker sikkerhedshuller i open source-komponenter flere måneder efter, at koden er blevet opdateret af udviklere uden for murene.
"Jeg husker at have installeret sikkerhedsopdateringer til nogle af disse huller på Linux tilbage i december."
"Open source er fortsat et populært område at kigge på for eksperter, der leder efter sårbarheder i Mac OS X," fortsætter Storms.
Sikkerhedseksperter kan gennemgå open source-kode for allerede rettede fejl og så bruge den information til at udvikle en exploit mod Apples styresystem med den sikre viden, at Apple endnu ikke har lukket hullet.
Apple retter i samme ombæring også tre fejl i Flash, som Adobe rettede tilbage i februar, fem i CoreGraphics-komponenten, der kan udnyttes af skadelige pdf-filer og én i den indbyggede søgemaskine, Spotlight, som hackere kan udnytte med et skadeligt Microsoft Office-dokument.
Men de højest profilerede sårbarheder i denne opdatering, om ikke andet så fordi de tiltrak sig så megen medieopmærksomhed, er de to sårbarheder, der blev udnyttet ved den årlige hacking-konkurrence "Pwn2Own," der er sponsoreret af 3coms TippingPoint.
I marts vandt Charlie Miller, som er analytiker hos Independent Security Evaluators, 5.000 dollars - godt 27.000 kroner - og en MacBook for at udnytte en fejl i komponenten Apple Type Services i Leopard til at bryde ind i den bærbare Mac på under 10 sekunder. Senere samme dag hackede en datalogistuderende fra Tyskland, som kun ville opgive sit fornavn Nils, Apples Safari ved hjælp af en sårbarhed i WebKit.
Apple lukker nu begge disse sårbarheder med den aktuelle opdatering næsten to måneder efter konkurrencen. Til sammenligning opdaterede Mozilla sin Firefox-browser, som Nils også hackede ved sikkerhedskonferencen CanSecWest, den samme dag han også brød sikkerheden i Internet Explorer 8 og Safari, nærmere betegnet 27. marts.
En brat opvågning
Storms hæfter sig ved forskellen mellem Apples aktuelle opdatering og den opdatering, som Microsoft udsendte tidligere samme dag.
"Microsoft, som generelt ses som den virksomhed, der står bag det mindre sikre styresystem ud af de to, udsender en sikkerhedsbulletin med 14 sårbarheder. Og Apple udsender en opdatering med 67 sårbarheder," bemærker han.
"Det er et fortrydelsens øjeblik, hvor man slår sig på panden," fortsætter Storms. "Det er som at opleve historiens vingesus for øjnene af mig."
Storms stærke kritik af Apples sikkerhedspraksis vil ingen ende tage.
"Hvem kunne vide, at OS X var så usikker?" siger han.
"Dette har været en brat opvågning for visse personer."
Han kommer dog ikke videre ind på kvaliteten af Apples sikkerhedsopdateringer.
"Kvaliteten er god på begge sider," vurderer han.
"Jeg kan ikke se nogen forskel i kvalitet mellem Apples og Microsofts sikkerhedsopdateringer."
I stedet fokuserer han på manglen af administrationsværktøjer i erhvervsklassen og knapheden på den information, som Apple leverer om fejlene og opdateringerne.
"Macs er bare stadig ikke enterprise-værktøjer," siger han, "selvom Apples marketing-afdeling ynder at lægge det sådan ud og siger, at de bruges i de store virksomheder."
Apple udsendte sidst opdateringer til sit styresystem midt i februar i år, da virksomheden rettede 48 sårbarheder. Tirsdagens opdatering er 40 procent større og den største, siden 90 sårbarheder blev rettet for 14 måneder siden.
Safari er også blevet opdateret denne gang. Apple har udsendt separate sikkerhedsopdateringer af Safari 3.0 og af betaen af Safari 4.0. Begge opdateringer lukker tre sårbarheder i både Mac- og Windows-versionerne af browseren. Mac-brugerne kan godt installere browseropdateringerne for sig selv, men de er også inkluderede i det samlede antal på 67 rettelser, der udgør Security Update 2009-002.
Sikkerhedsopdateringen kan downloades fra Apples website eller installeres ved hjælp af Mac OS X's integrerede opdateringstjeneste. Brugere af Leopard kommer dog ikke til at se sikkerhedsopdateringen for sig selv, da disse rettelser her er inkluderet i opgraderingen til Mac OS X's ny versionsnummer 10.5.7, som udkom samtidig.
Oversat af Thomas Bøndergaard
