Rekordowy zestaw poprawek od Apple

Firma Apple udostępniła w ubiegłym tygodniu największy w swojej historii (i jeden z największych w historii branży IT) pakiet poprawek dla swoich produktów. Aktualizacja Security Update 2010-007 dla Mac OS X usuwa z systemu oraz dołączonych do niego aplikacji w sumie 134 różne błędy w zabezpieczeniach.

Apple pobił tym samym swój poprzedni rekord, ustanowiony w marcu 2010 (kiedy to luk było blisko 100). Dodajmy, że Security Update 2010-007 jest pierwszym od września (i szóstym w tym roku) uaktualnieniem dla Mac OS X 10.6 (Snow Leopard) i Mac OS X 10.5 (Leopard).

Co ciekawe, specjaliści ds. bezpieczeństwa od razu zaczęli narzekać, że choć poprawek jest mnóstwo, to Apple i tak nie zdołał rozwiązać wszystkich poważnych problemów z bezpieczeństwem swojego OS-u. $"Apple udostępnia wielką aktualizację, a mimo to wykryte przeze mnie błędy wciąż nie zostają załatane. To sprawia, że uświadamiasz sobie jak dużo błędów musi być w ich kodzie. A może po prostu mają wielkiego pecha?" - napisał na Twitterze Charlie Miller, słynny haker specjalizujący się bezpieczeństwie produktów Apple (Miller kilkakrotnie wygrał słynny konkurs PWN2OWN).

55 dziur w Adobe Flash Player

Jak już wspomnieliśmy, tym razem Apple łatał błędy nie tylko w samym systemie, ale również w dołączonych do niego aplikacjach - aż 55 poprawek przeznaczonych było dla Adobe Flash Playera. Oczywiście, za te błędy bezpośrednio odpowiada raczej Adobe (czyli autor kodu), ale z uwagi na zintegrowanie odtwarzacza z Mac OS X użytkownicy mogą instalować poprawki dla niego dopiero, gdy do własnego mechanizmu aktualizacyjnego wprowadzi je Apple. Problem w tym, że koncern często z tym zwleka - poprawki dla makowej wersji AFP pojawiają się w systemie aktualizacyjnym tygodnie po tym, jak przygotuje je Adobe.

Apple zapowiedział już, że zamierza zrezygnować z integrowania Adobe Flash Playera ze swoim systemem (nie ma go już w nowych Macbookach Air) - dzięki temu użytkownicy będą mogli na własną rękę aktualizować odtwarzacz.

Krytyczne dziury

Inne godne uwagi błędy, które zostały właśnie załatane, to m.in. 16 luk w zabezpieczeniach X11 (apple'owej implementacji Unix X Windows System), 9 w odtwarzaczu multimedialnym QuickTime, cztery w module ImageIO i cztery w Apple Type Services (ATS). Warto odnotować, że błędy w ATS zostały załatane dopiero po tym, jak ich odkrywcy - specjaliści z Core Security Technologies - opublikowali w Internecie szczegółowe informacje na ich temat. Eksperci zdecydowali się na to, ponieważ Apple zignorował dwa terminy, w których obiecał rozwiązać problem. Dopiero upublicznienie błędów sprawiło, że koncern żwawo wciąż się za ich łatanie.

Dodajmy, że choć Apple nie używa powszechnie przyjętego w branży systemu nazywania błędów w zabezpieczeniach, to z opisu załatanych właśnie problemów wynika, iż zdecydowana większość z nich to tzw. luki krytyczne (tzn. takie, które mogą posłużyć do zaatakowania systemu bez żadnej akcji ze strony użytkownika).

Przygotowana przez Apple aktualizacja ma również rozwiązywać kilkanaście niezwiązanych z bezpieczeństwem problemów z wydajnością i stabilnością Mac OS X. W zależności od wersji Mac OS X poprawka ma od 240 do nawet 650 MB.

Więcej informacji znaleźć można na stronie Apple.


Zobacz również