Apple łata Snow Leoparda - koniec zamieszania z Flashem

Od premiery systemu Snow Leopard minęły niespełna dwa tygodnie, a Apple już udostępnił pierwszą poprawkę dla niego. Jej zadaniem jest uaktualnienie dołączonego do systemu odtwarzacza Flash - okazało się bowiem, że w finalnej wersji Leoparda znalazła się stara, dziurawa wersja tego oprogramowania. Firma przy okazji uaktualniła również Leoparda (33 poprawki) oraz Tigera (16 łatek).

Warto odnotować, że to nie pierwsze patche dla oprogramowania Apple udostępnione w ostatnich dniach - w środę firma opublikowała poprawki dla oprogramowania iPhone'a i iPoda Touch, a także dla iTunes (one również usuwały błędy w zabezpieczeniach).

"To kolejna niespodzianka Apple - oni robią tak zawsze. Gdy pojawiają się informacje o błędach w ich oprogramowaniu, to do końca nikt tego nie potwierdza i nie komentuje. Jest cisza, cisza... i nagle zaczyna się wysyp poprawek dla różnych produktów" - komentuję Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security. Storms podkreśla, że to bardzo archaiczna i uciążliwa dla administratorów polityka - większość dużych firm poszła w ślady Microsoftu i publikuje poprawki w stałym, regularnym cyklu. A to bardzo pomaga zaplanować pracę osobom odpowiedzialnym za firmowe komputery.

Patch bezpieczeństwa dla Snow Leopard 10.6.1 jest tylko jeden - jego zadaniem jest uaktualnienie dołączonego do systemu Adobe Flash Playera do najnowszej wersji. Apple zaliczył bowiem poważną wpadkę - po premierze najnowszego systemu okazało się, że zawiera on starą, dziurawą wersję Flasha. Specjaliści ds. bezpieczeństwa ostro skrytykowali za to firmę - zwracając uwagę m.in. na to, że w komputerach użytkowników, którzy zdecydowali się na upgrade systemu z poprzedniej wersji, najnowszy, bezpieczny Flash Player z Leoparda został zastąpiony starym i podatnym na ataki (dołączonym do Snow Leoparda). To poważne zaniedbanie ze strony Apple - tym bardziej, że w pełni uaktualniona i bezpieczna wersja Flash Playera została opublikowana przez Adobe w lipcu. Przedstawiciele firmy Jobsa do tej pory nie skomentowali tego zamieszania i nie wyjaśnili, dlaczego właściwie zdecydowano się na wykorzystanie starej wersji tego oprogramowania.

Najnowsza poprawka usuwa z Flash Playera w sumie aż 9 różnych błędów - w tym luki pozwalające na zdalne, nieautoryzowane uruchomienie kodu w zaatakowanym systemie (Apple nie używa powszechnie przyjętego w branży systemu nazewnictwa błędów - ale każda inna firma nazwałaby te luki krytycznymi).

Przy okazji Apple udostępnił też niezwiązaną z bezpieczeństwem poprawkę dla Snow Leoparda, rozwiązującą problem z wykrywaniem niektórych drukarek firmy HP.

Uaktualnienia Security Update 2009-005 dla Leoparda i Tigera są znacznie większe - z pierwszego systemu usunięto 33 błędy (23 spełniają kryteria luki krytycznej) , zaś z drugiego 16 (14 to błędy krytyczne).

Oczywiście, jak to zwykle z Apple bywa, znaczna część owych błędów to luki wykryte w oprogramowaniu firm trzecich, dołączonego do OS-ów firmy - chodzi tu m.in. skaner antywirusowy ClamAV (dołączony do oprogramowania serwerowego), PHP czy MySQL. Ale załatano również komponenty autorstwa Apple - np. system wydruku CUPS.

Z informacji dostarczonych przez Apple wynika, że w przypadku dwóch błędów do przeprowadzenia skutecznego ataku na system wystarczy zwabienie użytkownika na odpowiednio spreparowaną stronę WWW. Inne luki pozwalają na zaatakowanie komputera poprzez złośliwe pliki - np. JPG, PDF lub TIFF.

Andrew Storms podkreśla, że Apple po raz kolejny już zbyt długo zwleka z łataniem aplikacji firm trzecich, dołączonych do systemów firmy - ekspert zwraca uwagę, że poprawki dla PHP, które w Mac OS X pojawiają się dopiero teraz, zostały udostępnione przez autorów tego oprogramowania już w... czerwcu. "Apple zawsze podkreśla, że dostarcza klientom kompletne rozwiązanie - system z wszelkimi niezbędnymi aplikacjami. Jeśli tak, to powinien je szybko łatać, gdy tylko pojawiają się poprawki przygotowane przez autorów danego programu" - mówi specjalista. I rzeczywiście, to nie pierwsza taka sytuacja: dość przypomnieć, że poprzednią poprawkę dla Flash Playera wprowadzono do Mac OS X w połowie maja - była to ta sama poprawka, którą Adobe udostępnił w... lutym.

Najnowsze uaktualnienia Apple można pobrać ze strony firmy lub za pomocą wbudowanego do systemu mechanizmu aktualizacyjnego.


Zobacz również