蘋果釋出安全更新修補50多個漏洞

蘋果於上周釋出四個安全更新，修補逾50個漏洞，涵蓋Mac OS X中的元件及Windows版Safari。這是蘋果今年度首次安全更新，也是近來最大規模的更新。

蘋果所釋出的四個安全更新分別為針對Mac OS X v10.4.11及Mac OS X v10.5.6作業系統元件的Security Update 2009-001；以及鎖定Mac OS X 10.5的Java元件更新；鎖定Mac OS X 10.4的Java元件更新；以及Safari 3.2.2視窗版的更新，總計修補逾50個安全漏洞。

Update 2009-001修補的安全漏洞影響AFP伺服器、蘋果影片處理工具Pixlet Video、CarbonCore、CFNetwork、Certificate Assistant、ClamAV、CoreText、CUPS、DS Tools、fetchmail、Folder Manager、FSEvents、Network Time、perl、Printing、python、Remote Apple Events、servermgrd、SMB、SquirrelMail、X11、XTerm，以及Safari RSS。

其中，Safari RSS漏洞在Safari處理嵌入feed: URL的方式存在多個輸入驗證問題，因此當使用者存取惡意的feed: URL時，可能導致執行任意程式。

在蘋果發布此一安全更新後，發現上述Safari漏洞之一的Brian Mastenbrook在部落格警告，該漏洞很危險，指出該漏洞是Safari中的RSS feed設計錯誤，錯認遠端的內容為使用者電腦中的內容，不論是蘋果或視窗作業系統的Safari都受到波及，並可能導致跨站攻擊。

Mastenbrook說明，該漏洞很容易被網釣駭客利用，駭客只要打造一個網路伺服器，而且在使用者連上一個不存在的網頁時，回應一個含有惡意程式的網頁。他強調，早在去年7月他就提供了相關漏洞資訊以及可存取使用者電腦中檔案的概念性驗證程式給蘋果，但蘋果遲遲未修補，使得他不得不在今年1月張貼該漏洞的警告資訊，並建議使用者暫時關閉Safari中的RSS feed功能。

此外，蘋果針對Mac OS X 10.4及Mac OS X 10.5等作業系統Java元件的更新皆為修補Java Web Start與Java Plug-in的多個安全漏洞，其中最嚴重的漏洞可能讓不受信任的Java應用程式提高使用權限。（編譯/陳曉莉）