วีดีโอ: à¹à¸§à¸à¹à¸²à¸à¸±à¸ à¸à¸à¸±à¸à¸à¸´à¹à¸¨à¸© (กันยายน 2024)
Apple แก้ไขช่องโหว่ร้ายแรงจำนวนหนึ่งใน OS X, เว็บเบราว์เซอร์ Safari และแพ็คเกจของบุคคลที่สามจำนวนหนึ่งซึ่งเป็นส่วนหนึ่งของการอัปเดตที่สำคัญ แพตช์พร้อมใช้งานใน Software Update และผู้ใช้ควรตรวจสอบให้แน่ใจว่ามีการใช้การแก้ไขทันที
การอัปเดตซึ่งส่งผลต่อ OS X – Mountain Lion (10.8), Lion (10.7) และ Snow Leopard (10.6) ที่รองรับทั้งหมดและปิดข้อบกพร่องการเรียกใช้โค้ดจากระยะไกลหลายรายการในระบบปฏิบัติการและ Safari Apple กล่าวในคำแนะนำเมื่อวานนี้ . โปรแกรมแก้ไขยังแก้ไขปัญหาใน QuickTimes และการใช้งาน OS X ของ OpenSSL และ Ruby ข้อผิดพลาดทับทิมกำลังถูกโจมตีในป่า
ช่องโหว่จำนวนมากได้ถูกค้นพบเมื่อไม่นานมานี้ใน Ruby on Rails ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจส่งผลให้ผู้โจมตีสั่งรันโค้ดจากระยะไกลบนระบบที่รันแอพพลิเคชั่น Rails Apple ระบุช่องโหว่แปดช่องทางที่แตกต่างกันโดยการอัปเดต Ruby on Rails ใน OS X เป็นเวอร์ชัน 2.3.18 ปัญหานี้อาจส่งผลกระทบต่อระบบ OS X Lion หรือ OS X Mountain Lion ที่ได้รับการอัพเกรดจาก Mac OS X 10.6.8 หรือเก่ากว่า Apple กล่าว
OS X Fixes
Apple แก้ไขข้อผิดพลาดการเรียกใช้รหัสระยะไกลหลายอย่างในระบบปฏิบัติการ ผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในองค์ประกอบ CoreAnimation ซึ่งผู้ใช้ทุกคนต้องทำคือเรียกดู URL ที่ออกแบบมาเพื่อประสงค์ร้ายเพื่อให้ถูกโจมตี ข้อผิดพลาดอื่น ๆ ในองค์ประกอบของ Playback นั้นอาจถูกโจมตีด้วยไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้าย Apple กล่าว มีตัวแก้ไขที่แตกต่างกันสี่แบบสำหรับ QuickTime แก้ไขข้อบกพร่องในการเรียกใช้รหัสจากระยะไกลซึ่งสามารถใช้ประโยชน์จากไฟล์ MP3, FPX, QTIF และไฟล์ภาพยนตร์อื่น ๆ ที่ออกแบบมาเพื่อประสงค์ร้าย
ข้อผิดพลาดในการเรียกใช้โค้ดจากระยะไกลที่ร้ายแรงอีกตัวหนึ่งคือองค์ประกอบของบริการไดเรกทอรี แต่ส่งผลกระทบต่อผู้ใช้ที่มีระบบ Snow Leopard เท่านั้นที่เปิดใช้งานบริการ บริการไดเรกทอรีติดตามข้อมูลการตรวจสอบผู้ใช้และกลุ่มทั้งหมดโดยใช้แพลตฟอร์มต่าง ๆ รวมถึง Active Directory, LDAP, AppleTalk และ SMB การแชร์ไฟล์ Apple แทนที่ Diectory Service ด้วย Open Directory ใน Lion และ Mountaion Lion
ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องด้วยการส่งข้อความที่ออกแบบมาเพื่อประสงค์ร้ายผ่านเครือข่ายเพื่อให้เซิร์ฟเวอร์ไดเรกทอรีขัดข้องหรือเรียกใช้รหัสจากระยะไกล Apple กล่าว
OpenSSL ปัญหา Safari
Apple แก้ไขปัญหา 13 รายการใน OpenSSL ซึ่งหนึ่งในนั้นจะช่วยให้ผู้โจมตีสามารถเริ่มการโจมตีแบบ CRIME ซึ่งผู้โจมตีสามารถถอดรหัสเซสชันที่มีการป้องกัน SSL การบีบอัดการโจมตี TLS 1.0 ได้รับการพัฒนาโดยนักวิจัยด้านความปลอดภัย Thai Duong และ Juliano Rizzo
Safari รุ่นใหม่ 6.0.5 แก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกล 23 ชุดและจุดบกพร่องด้านการเขียนสคริปต์ข้ามไซต์สามจุด ปัญหาเกี่ยวข้องกับเอนจิน WebKit ที่ให้อำนาจเบราว์เซอร์
"มีปัญหาการล่มของหน่วยความจำหลายอย่างใน WebKit" Apple กล่าวในที่ปรึกษา
ปัญหาเหล่านี้ทำให้ผู้ใช้ Mac เกิดการโจมตีจากการเบราว์เซอร์และผู้โจมตีจะสามารถรันโค้ดนอกเบราว์เซอร์และเข้าสู่ระบบได้โดยตรงโดยไม่ต้องขออนุญาตจากผู้ใช้ ข้อผิดพลาดการเขียนสคริปต์ข้ามไซต์ยังช่วยให้ผู้โจมตีสามารถสร้างเว็บไซต์ที่เป็นอันตรายซึ่งมีองค์ประกอบจากหน้าเว็บที่ถูกกฎหมายเพื่อหลอกลวงผู้ใช้ให้คิดว่าเว็บไซต์ที่ถูกหลอกเหล่านี้น่าเชื่อถือ
รับการอัพเดทนั้น
ผู้ใช้ที่ใช้ Software Update ของ Apple จะได้รับการอัปเดตที่ถูกต้องโดยอัตโนมัติ ผู้ใช้ที่ตัดสินใจที่จะทำด้วยตนเองจะต้องคว้าการอัปเดต OS X 10.8.4 (ซึ่งรวมถึง Safari 6.0.5) สำหรับ Mountaion Lion และ Security Update 2013-002 (ซึ่งไม่รวมการอัปเดต Safari) สำหรับ Snow Leopard และ Lion ระบบ โปรดทราบว่า Snow Leopard ไม่ได้รับ Safari เวอร์ชันใหม่เนื่องจากยังอยู่ใน Safari 5
