駭客再揭Mac OS X漏洞

由知名駭客HD Moore發起的核心臭蟲月（The Month of Kernel Bugs）在本周陸續揭露了蘋果電腦Mac OS X作業系統的漏洞，並宣稱駭客透過該漏洞進行攻擊除了會讓電腦當機外，也可能掌控該電腦，相關的攻擊程式已被公布在網路上。

本周一（11/20），核心臭蟲月計畫先揭露了存在Mac OS X處理磁碟映像檔（Disk image，DMG）過程的漏洞，指出蘋果電腦的磁碟映像檔控制器無法適當處理錯誤的DMG映像結構，駭客可以透過該漏洞讓蘋果電腦當機，或者藉由額外的惡意檔案掌控該系統。

繼之在周二（11/21）該計畫再揭露了Mac OS X的另一個漏洞，指出該作業系統無法適當處理錯誤的UDTO、HFS及映像架構，特定情況下可能導致記憶體錯誤。

一名參與核心臭蟲月計畫、在網路上暱稱為LMH的資安研究人員指出，第一個Mac OS X漏洞只要誘拐使用者透過Safari瀏覽器下載一個惡意的DMG檔案，就有可能遠端掌控使用者電腦。

賽門鐵克安全回應團隊總監Oliver Friedrichs表示，上述漏洞比蘋果電腦近日被揭露的漏洞都還要來得嚴重，因為蘋果電腦的Safari瀏覽器預設會自動下載並開啟任何的DMG檔案。

而丹麥的資安業者Secunia也將周一被公布的DMG漏洞列為高度危急（highly critical）等級，但指出，雖然蘋果作業系統的漏洞愈來愈多，可是尚未看到實際的攻擊行動。

LMH則建議使用者可關閉或更改系統內「在下載後開啟安全檔案」的設定，以防止駭客針對第一個漏洞所進行的攻擊。（編譯/陳曉莉）