Apple впервые в своей истории осуществила скрытое обновление операционной системы в автоматическом режиме, незаметно для пользователей. В этом отношении «яблочная» компания уравняла себя с Microsoft, неоднократно замеченной в подобном поведении.

Такой чести удостоилась неприятная уязвимость (точнее, сразу четыре уязвимости) в безопасности сервиса NTP (Network Time Protocol), который используется для синхронизации системного времени на компьютере со временем на NTP-сервере. В числе трёх наиболее опасных уязвимостей — переполнение буфера, слабая энтропия (в случае, если ключ аутентификации не установлен в конфигурационном файле, то NTP генерирует слабый случайный ключ с недостаточной энтропией) и слабый ГПСЧ.

По мнению независимых специалистов, с помощью уязвимостей CVE-2014-9293, CVE-2014-9294, CVE-2014-9295 и CVE-2014-9296 злоумышленники могут получить удалённый доступ к компьютерам.

Apple выпустила патч в систему автоматического обновления в понедельник 22 декабря.

Информация о баге попала в открытый доступ в пятницу 19 декабря, когда соответствующий бюллетень опубликовали Министерство внутренней безопасности США и институт разработки программного обеспечения при университете Карнеги-Меллона. В оригинальной версии бюллетеня были перечислены десятки компаний, включая Apple, чьи программы могут быть уязвимы.

Баг присутствует во всех версиях NTP до NTP-dev4.2.7p11 (выпущена 28 января 2010 года). Его обнаружили сотрудники Google Security Team.

Во время всех предыдущих обновлений безопасности Apple выпускала патчи, которые распространялись через обычную систему апдейтов и обычно требовали явных действий от пользователя для установки.

003

В данном случае решено провести скрытое автоматическое обновление, вероятно, в силу высокой опасности и широкой распространённости бага.

Механизм скрытых обновлений компания Apple внедрила в операционную систему два года назад и никогда не использовала до этого понедельника.

«Апдейт совершенно незаметный, он даже не требует перезагрузки компьютера», — сказал Билл Эванс (Bill Evans) из компании Apple в интервью Reuters.

Подписаться
Уведомить о
16 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии