蘋果電腦發表Mac OS X 10.4.7　修補重大漏洞

蘋果電腦在周二（6/27）發表Mac OS X 10.4.7，修補PowerPC及Intel平台上的Mac OS X作業系統的5個重大漏洞，有些漏洞可造成阻斷式服務攻擊（DoS），有些則能讓駭客執行任意程式。

蘋果電腦表示，這些漏洞僅影響Mac OS X 10.4以後版本的作業系統，包括自Mac OS X 10.4到Mac OS X 10.4.6，以及Mac OS X Server 10.4到Mac OS X Server 10.4.6，先前的版本並不受影響。

包括賽門鐵克及Incident Response Team等資安業者都把這些漏洞列為「重大」（critical）風險等級。不過蘋果電腦指出目前尚未發現針對這些漏洞的攻擊行動。

有一個漏洞是作業系統中AppleTalk文件協定（AppleTalk Filing Protocol, AFP）伺服器程式所產生的錯誤，這是一個讓伺服器端及客戶端分享檔案的協定，但當這個AFP伺服器被用來展示搜尋結果時，駭客就能在遠端攻擊此一漏洞，並要求揭露存在使用者電腦上的特定檔案。

第二個漏洞則是蘋果作業系統中用來處理圖像的ImageIO功能所出現的堆疊緩衝區溢位錯誤，如果利用ImageIO來處理一個惡意的TIFF檔案，就可能導致蘋果應用程式當掉，或是進行攻擊行動。

第三個漏洞出現在Mac OS X裡頭的OpenLDAP伺服器程式，因為它無法適當處理無效的LDAP要求，駭客可以從遠端進行阻斷式服務攻擊。

第四個是Mac OS X中專門用來執行程式的Launchd中所存在的區域format-string漏洞，駭客可以利用該漏洞提高權限並執行任意程式。

第五個漏洞為蘋果電腦作業系統中的防毒軟體技術ClamAV，駭客只要誘拐使用者到一惡意網站上下載病毒識別碼，就能夠在系統中執行任意程式。

除了修補漏洞外，Mac OS X 10.4.7也改善了許多功能，包括QuickTime中的錄音功能、iTunes、Final Cut Pro及Soundtrack等，以及書籤、行事曆及檔案功能等，另外蘋果電腦也修補了作業系統中燒錄檔案的空間要求。

這些安全更新及改善功能皆可透過蘋果電腦網站上的自動更新機制取得。（編譯/陳曉莉）