Apple впервые в своей истории осуществила скрытое обновление операционной системы в автоматическом режиме, незаметно для пользователей. В этом отношении «яблочная» компания уравняла себя с Microsoft, неоднократно замеченной в подобном поведении.

Такой чести удостоилась неприятная уязвимость (точнее, сразу четыре уязвимости) в безопасности сервиса NTP (Network Time Protocol), который используется для синхронизации системного времени на компьютере со временем на NTP-сервере. В числе трёх наиболее опасных уязвимостей — переполнение буфера, слабая энтропия (в случае, если ключ аутентификации не установлен в конфигурационном файле, то NTP генерирует слабый случайный ключ с недостаточной энтропией) и слабый ГПСЧ.

По мнению независимых специалистов, с помощью уязвимостей CVE-2014-9293, CVE-2014-9294, CVE-2014-9295 и CVE-2014-9296 злоумышленники могут получить удалённый доступ к компьютерам.

Apple выпустила патч в систему автоматического обновления в понедельник 22 декабря.

Информация о баге попала в открытый доступ в пятницу 19 декабря, когда соответствующий бюллетень опубликовали Министерство внутренней безопасности США и институт разработки программного обеспечения при университете Карнеги-Меллона. В оригинальной версии бюллетеня были перечислены десятки компаний, включая Apple, чьи программы могут быть уязвимы.

Баг присутствует во всех версиях NTP до NTP-dev4.2.7p11 (выпущена 28 января 2010 года). Его обнаружили сотрудники Google Security Team.

Во время всех предыдущих обновлений безопасности Apple выпускала патчи, которые распространялись через обычную систему апдейтов и обычно требовали явных действий от пользователя для установки.

003

В данном случае решено провести скрытое автоматическое обновление, вероятно, в силу высокой опасности и широкой распространённости бага.

Механизм скрытых обновлений компания Apple внедрила в операционную систему два года назад и никогда не использовала до этого понедельника.

«Апдейт совершенно незаметный, он даже не требует перезагрузки компьютера», — сказал Билл Эванс (Bill Evans) из компании Apple в интервью Reuters.



16 комментариев

  1. 24.12.2014 at 10:28

    После смерти Джобса, apple стала как малолетняя шлюшка, поступившаяся своими фундаментальными принципами ради того, чтобы отдаться подороже. Сначала заявила о сотрудничестве с IBM, которую всегда портивопоставляла себе, и объявила себя повстанцем в борьбе с эти Злом. Теперь вот скрытые обновления. Ждем продолжения сериала «Грехопадение Яблока»

    • 24.12.2014 at 10:33

      Жду злых яблодрочеров в каментах

      • 25.12.2014 at 12:51

        солидарен, только вот надкусанное яблоко- символ соблазна, уже изначально подразумевает в своей концепции грех.

    • 28.12.2014 at 17:03

      К слову.. Давняя новость с 4pda: «»Никому не нужен стилус!» — как-то заявил Стив Джобс. Похоже, в последнее время Apple пересмотрела свою политику, судя по замеченному на портале AppleInsider патенту на «интеллектуальный» стилус для iPad.» Джобс говорил, что в телефон надо пальцем тыкать, а стилус это извращение. Apple уже не та.

  2. 24.12.2014 at 11:22

    Вообще то это обновление висело и надо как минимум кликнуть на него, чтобы установить. Что значит незаметно?

    • 24.12.2014 at 22:20

      мой мак был в спящем режиме, пришел домой и он радостно сообщил что установлено обновление безопасности — можно сказать незаметно

  3. 24.12.2014 at 11:38

    Меня лично впечатлило количество уязвимостей в реализации NTP — где их только можно было там наляпать? 🙂

    • 24.12.2014 at 12:18

      Индусский код (в среде программистов 80х также известен как
      Glitch) — в самом общем случае, это криво написанный, но каким-то
      удивительным образом работающий код. Индусский код написан наиболее
      неочевидным и неестественным из всех возможных способов. Именно этим он и
      отличается от быдлокода, который хотя бы капельку очевиден и сделан, хоть и по детсадовским, но по правилам.

  4. 25.12.2014 at 02:36

    Если статья переводная, я так понимаю трудности перевода. Если авторская, вопрос автору: что такое скрытое обновление и как оно выглядит? Обычное обновление безопасности было без перезагрузки. В логах есть, описание обновления есть. От кого скрыто было?

    • 25.12.2014 at 12:56

      я думаю скрытое означает, то, что без каких либо вмешательств пользователя.
      а то что написали Вы, это скорей «чистое» обновление.

      • 25.12.2014 at 14:29

        без вмешательства пользователя проходят все апдейты, если установлена соответствующая опция. А что такое «чистое»? Как его отличить от «грязного»?
        Просто secure fix ничего большого. Статья ни о чём

Оставить мнение