在今年7月下旬DNS漏洞細節被揭露後,安全研究人員紛紛警告蘋果尚未修補相關漏洞,使蘋果用戶曝露於安全風險中。不過,在蘋果於上周祭出更新程式修補Mac OS X中的17個漏洞後,安全人員再度抨擊蘋果的修補程式並不完善。
IOAcitve安全研究人員Dan Kaminsky是在今年初發現嚴重的DNS漏洞,該漏洞潛藏於DNS的設計中,因此殃及大多數的DNS產品,並可能導致駭客進行快取下毒(cache poisoning)攻擊,讓使用者在無預警的情況下連結到釣魚網站。各大業者在7月初聯手進行的同步更新,包括思科及微軟,但當時蘋果並未在列。
蘋果一直到上周才釋出修補程式,不過,nCircle Network Security研究總監Andrew Storms表示,目前對抗DNS快取下毒的手法是強制執行隨機的ID詢問及來源埠(source port),讓攻擊行動更不容易進行,不過,他在自己的Tiger(OS X 10.4)作業系統安裝了蘋果的更新程式後發現,系統仍然未隨機選擇來源埠。Storms認為,蘋果並未妥善修補該DNS漏洞。
另一名SANS研究人員Swa Frantzen則在自己更新後的Leopard(OS X 10.5)作業系統上發現了同樣的事,並表示蘋果可能在伺服器上修補了一些更重要的部份,而讓DNS客戶端仍需要其他的暫時性補救措施。
針對該DNS漏洞的攻擊程式隨著漏洞細節流出而現身,並有研究人員宣稱已發現實際的攻擊行動,迄今資安業者仍不斷呼籲企業及使用者應該要馬上修補相關漏洞。(編譯/陳曉莉)
熱門新聞
2026-01-16
2026-01-16
2026-01-18
2026-01-16
2026-01-16
2026-01-18
2026-01-16
Advertisement