Серьезные ошибки в программном обеспечении Mac OS X и QuickTime могут
поставить под угрозу кибератак системы Macintosh и Windows, предупредила
компания Apple Computer.
В двух секьюрити-бюллетенях, выпущенных в четверг, Apple перечисляет 31 дефект,
влияющий на разные версии операционной системы, и дюжину уязвимостей в ПО
медиаплеера QuickTime. Apple не приводит рейтинга опасности, но эксперты
называют проблемы «критическими». Уязвимости Mac OS X связаны с различными
компонентами операционной системы и проявляются как в серверной, так и в
клиентской версиях ОС, отмечает Apple в своем бюллетене. Некоторые из них
позволяют организовать атаку путем создания вредоносного файла или веб-сайта.
«Злоумышленники могут воспользоваться этими ошибками для исполнения произвольных
команд, обхода ограничений безопасности, раскрытия конфиденциальной информации
или атаки, вызывающей отказ в обслуживании», — пишет в своих рекомендациях
французская компания French Security Incident Response Team.
Apple пришлось много потрудиться над тем, чтобы полностью решить проблему
безопасности, выявленную еще в начале этого года. Компания исправила баг в
функции download validation, предназначенной для защиты пользователей Мас от
установки вредоносного кода с веб-сайта злоумышленников или из сообщения e-mail
— опасность, больше знакомая пользователям Windows. Apple добавила эту функцию в
обновление, вышедшее в начале марта. Две недели спустя вышло другое обновление,
исправляющее некоторые ошибки первого. Исправление, вышедшее в четверг, решает
другую проблему: download validation можно обойти, присвоив файлу очень длинное
имя.
Критики утверждают, что для того, чтобы снять риск установки вредоносного ПО,
функции download validation недостаточно и что Apple нужно решать эту проблему
на более низком уровне операционной системы. Баги QuickTime подвергают опасности
взлома системы Mac OS X и Windows. Все уязвимости медиаплеера вызваны ошибками в
способах управления определенными файлами. Специально подготовленные файлы в
определенных медиаформатах — в том числе JPEG, QuickTime, Flash, MPEG4 и AVI —
позволяют злоумышленнику взломать уязвимую систему, говорится в бюллетене Apple.
Исправление Apple 2006-003 для Mac OS X и QuickTime можно загрузить и установить
посредством механизма Software Update или с веб-сайта Apple Downloads.