Apple łata Snow Leoparda - koniec zamieszania z Flashem

Warto odnotować, że to nie pierwsze patche dla oprogramowania Apple udostępnione w ostatnich dniach - w środę firma opublikowała poprawki dla oprogramowania iPhone'a i iPoda Touch, a także dla iTunes (one również usuwały błędy w zabezpieczeniach).

"To kolejna niespodzianka Apple - oni robią tak zawsze. Gdy pojawiają się informacje o błędach w ich oprogramowaniu, to do końca nikt tego nie potwierdza i nie komentuje. Jest cisza, cisza... i nagle zaczyna się wysyp poprawek dla różnych produktów" - komentuję Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security. Storms podkreśla, że to bardzo archaiczna i uciążliwa dla administratorów polityka - większość dużych firm poszła w ślady Microsoftu i publikuje poprawki w stałym, regularnym cyklu. A to bardzo pomaga zaplanować pracę osobom odpowiedzialnym za firmowe komputery.

Patch bezpieczeństwa dla Snow Leopard 10.6.1 jest tylko jeden - jego zadaniem jest uaktualnienie dołączonego do systemu Adobe Flash Playera do najnowszej wersji. Apple zaliczył bowiem poważną wpadkę - po premierze najnowszego systemu okazało się, że zawiera on starą, dziurawą wersję Flasha. Specjaliści ds. bezpieczeństwa ostro skrytykowali za to firmę - zwracając uwagę m.in. na to, że w komputerach użytkowników, którzy zdecydowali się na upgrade systemu z poprzedniej wersji, najnowszy, bezpieczny Flash Player z Leoparda został zastąpiony starym i podatnym na ataki (dołączonym do Snow Leoparda). To poważne zaniedbanie ze strony Apple - tym bardziej, że w pełni uaktualniona i bezpieczna wersja Flash Playera została opublikowana przez Adobe w lipcu. Przedstawiciele firmy Jobsa do tej pory nie skomentowali tego zamieszania i nie wyjaśnili, dlaczego właściwie zdecydowano się na wykorzystanie starej wersji tego oprogramowania.

Najnowsza poprawka usuwa z Flash Playera w sumie aż 9 różnych błędów - w tym luki pozwalające na zdalne, nieautoryzowane uruchomienie kodu w zaatakowanym systemie (Apple nie używa powszechnie przyjętego w branży systemu nazewnictwa błędów - ale każda inna firma nazwałaby te luki krytycznymi).

Przy okazji Apple udostępnił też niezwiązaną z bezpieczeństwem poprawkę dla Snow Leoparda, rozwiązującą problem z wykrywaniem niektórych drukarek firmy HP.

Uaktualnienia Security Update 2009-005 dla Leoparda i Tigera są znacznie większe - z pierwszego systemu usunięto 33 błędy (23 spełniają kryteria luki krytycznej) , zaś z drugiego 16 (14 to błędy krytyczne).

Oczywiście, jak to zwykle z Apple bywa, znaczna część owych błędów to luki wykryte w oprogramowaniu firm trzecich, dołączonego do OS-ów firmy - chodzi tu m.in. skaner antywirusowy ClamAV (dołączony do oprogramowania serwerowego), PHP czy MySQL. Ale załatano również komponenty autorstwa Apple - np. system wydruku CUPS.

Z informacji dostarczonych przez Apple wynika, że w przypadku dwóch błędów do przeprowadzenia skutecznego ataku na system wystarczy zwabienie użytkownika na odpowiednio spreparowaną stronę WWW. Inne luki pozwalają na zaatakowanie komputera poprzez złośliwe pliki - np. JPG, PDF lub TIFF.

Andrew Storms podkreśla, że Apple po raz kolejny już zbyt długo zwleka z łataniem aplikacji firm trzecich, dołączonych do systemów firmy - ekspert zwraca uwagę, że poprawki dla PHP, które w Mac OS X pojawiają się dopiero teraz, zostały udostępnione przez autorów tego oprogramowania już w... czerwcu. "Apple zawsze podkreśla, że dostarcza klientom kompletne rozwiązanie - system z wszelkimi niezbędnymi aplikacjami. Jeśli tak, to powinien je szybko łatać, gdy tylko pojawiają się poprawki przygotowane przez autorów danego programu" - mówi specjalista. I rzeczywiście, to nie pierwsza taka sytuacja: dość przypomnieć, że poprzednią poprawkę dla Flash Playera wprowadzono do Mac OS X w połowie maja - była to ta sama poprawka, którą Adobe udostępnił w... lutym.

Najnowsze uaktualnienia Apple można pobrać ze strony firmy lub za pomocą wbudowanego do systemu mechanizmu aktualizacyjnego.