Computerworld News Service: Apple udsendte i går den største sikkerhedsopdatering siden maj 2009, der lukker 58 sårbarheder i Mac-styresystemet inklusiv adskillige i medieafspilleren QuickTime, som virksomheden rettede separat først i september.
Apple har ifølge en sikkerhedsrapport tilsyneladende også sendt Mac OS X 10.4 kodenavn Tiger på pension. Ingen af sikkerhedsrettelserne rammer denne ældre version af styresystemet, der kom på markedet i april 2005. Apple stopper traditionelt med at levere sikkerhedsopdateringer til den ældste aktuelle version af styresystemet adskillige måneder efter udgivelsen af en ny version.
Denne sikkerhedsopdatering fra Apple er den sjette i år, og den anden, der indeholder rettelser af Snow Leopard, der blev lanceret sidst i august.
"Det virker af lidt meget, men det er faktisk på linje med Apples kurs," siger Andrew Storms, der er sikkerhedsleder hos nCircle Network Security, i en henvisning til det antal fejl, der bliver rettet af opdateringen 2009-006. I maj rettede Apple et rekordantal på 67 sårbarheder, 55 i februar, 33 i september og 19 med to separate opdateringer i august.
"Gudskelov, at Apple ikke udgav denne opdatering i morgen (i dag, tirsdag, red.)," siger Storms. Microsoft, som i modsætning til Apple udgiver sine sikkerhedsopdateringer efter et regulært skema, vil efter planen udgive seks sikkerhedsopdateringer i dag tirsdag, der lukker 15 sårbarheder.
Over halvdelen af de sårbarheder, Apple rettede i går, 32 ud af de 58, bliver ledsaget af frasen "kan føre til eksekvering af arbitrær kode," hvilket betyder, at en fejl er af kritisk omfang og kan bruges af en hacker til at tage kontrol over en Mac. Apple rangerer ikke, hvor alvorlige de fejl, som virksomheden retter, er, i modsætning til andre større softwareleverandører såsom Microsoft og Oracle.
Apple lukker sikkerhedshuller i 37 forskellige komponenter af Mac OS X fra AFP Client og open source-webserver-softwaren Apache til CoreGraphics, Help Viewer og desktop-søgemaskinen Spotlight.
Storms mener, at adskillige af disse sikkerhedshuller har fortjent særlig opmærksomhed heriblandt de fire kritiske i den version af QuickTime, der oprindeligt kom sammen med Mac OS X 10.6 kodenavn Snow Leopard.
"Disse sårbarheder rettede Apple i QuickTime 7.6.4," siger Storms i en bemærkning om, at Apple udsendte separate opdateringer til QuickTime til henholdsvis Mac OS X 10.4 Tiger og 10.5 Leopard 9. september kun 12 dage efter at have lanceret Snow Leopard.
Fejl kan bruges til identitetstyveri
Apple udsendte Snow Leopards første sikkerhedsopdatering 10. september for at rette ni sårbarheder i Adobes Flash Player, som ellers var blevet lukket sidst i juli, men som Apple ikke havde været i stand til at få med i Snow Leopard før lanceringen.
Fem andre rettelser var også udelukkende til Snow Leopard: Et par rettelser af komponenten CoreMedias håndtering af videofiler i formatet H.264, en i ImageIO's håndtering af TIFF-filer samt to i kerne og opstartstjenester.
En af sårbarhederne, der blev rettet i går, som ifølge Apple påvirker komponenten Libsecurity, blev rettet af Microsoft for en måned siden i virksomhedens regelmæssige oktober-opdatering, påpeger Storms. Apple krediterer da også Dan Kaminsky fra IOActive samt Microsofts sårbarheds-undersøgelses-team for at have rapporteret om fejlen, som påvirkede behandlingen af X.509-certifikater. Denne fejl kan udnyttes til at efterligne digitale certifikater på et website som en mulig del af et identitetstyveri.
"Selvom et angreb stadig ikke anses for at være beregningsmæssigt gennemførligt ved at udnytte disse svagheder, så slår denne opdatering understøttelsen af X.509-certifikatet med en MD2-hash fra for enhver anden brug end som et rod-certifikat, der er tillid til," skriver Apple i den medfølgende advisory.
I sidste måned fortalte Microsoft, at der allerede var blevet offentliggjort proof-of-concept-kode, "som gør det muligt for en angriber at udnytte denne sårbarhed i begrænsede scenarier," men understregede også, at virksomheden endnu ikke har iagttaget nogen aktive angreb.
Også adskillige open source-komponenter i Mac OS X blev i går rettet heriblandt Apache, Fetchmail, IPSec, LibXML, OpenLDAP, OpenSSH, PHP, Radius og Subversion. "Jeg undersøgte udgivelsesdatoerne for disse opdateringer for at danne mig en idé om Apple reaktionstid," forklarer Storms. "Apache blev opdateret i juni, Fetchmail, LibXML og Subversion i august og PHP og Radius i september."
Storms og andre sikkerhedseksperter har i nogen tid været kritiske over for Apples til tider sløve opdaterings-tempo for open source-komponenterne i Mac OS X. "For at kværulere om sagen endnu en gang - hvis Apple vil distribuere open source-kode og -applikationer, så må virksomheden begynde at lukke hullerne her noget hurtigere," siger Storms. "Det var ret vigtigt at få nogle af de her sårbarheder lukket såsom i PHP og LibXML, og her var Apple denne gang rimelig hurtig. Men fejlen i OpenSSH blev faktisk rettet for over et år siden."
Sikkerhedsopdateringen kan downloades fra Apples website eller installeres ved hjælp af Mac OS X's integrerede opdateringstjeneste. Brugere af Snow Leopard vil dog ikke se disse sikkerhedsrettelser som en separat opdatering, da de er en del af Mac OS X 10.6.2-opgraderingen, der også udkom i går.
Oversat af Thomas Bøndergaard
