Wielkie łatanie Apple: system, telefon i Safari pod Windows

Firma Apple opublikowała zbiorczą aktualizację zabezpieczeń swojego systemu operacyjnego MacOS X. Łatka oznaczona jako 2007-007 przeznaczona jest dla użytkowników systemów zarówno w wersjach 10.3.x, jak i 10.4.x i to nie tylko w odmianie desktopowej, ale także serwerowej. Usuwa ona z systemu pięćdziesiąt różnego rodzaju usterek. Oprócz tego pojawiła się także pierwsza aktualizacja dla iPhone'a i kolejna poprawka dla przeglądarki Safari dla systemów Windows.

Opisywaną tutaj zbiorczą poprawkę można pobrać i zainstalować z witryny producenta, ale można także skorzystać z automatycznej aktualizacji systemu Mac OS X. Wśród błędów naprawianych przez aktualizację 2007-007 znajdziemy między innymi:

- poprawki programów bzip2 i gnuzip, usuwające błąd w obsłudze plików ze odpowiednio skonstruowanymi nazwami, których obsługa mogła prowadzić do wykonania na komputerze szkodliwego kodu.

- poprawki CFNetwork, związane z obsługą protokołów FTP i HTTP. Pierwszy błąd powodował możliwość wykorzystania danych użytkownika do wysyłania komend protokołu FTP do innych serwerów. Natomiast luka w obsłudze protokołu HTTP mogła prowadzić do ataku cross-site scripting poprzez spreparowanie złośliwej odpowiedzi na zapytanie HTTP.

- poprawki CoreAudio JDirect - interfejsu do bibliotek CoreAudio dla języka Java - usuwające błędy w zarządzaniu pamięcią i zapobiegające uruchomieniu złośliwego kodu, który mógł być udostępniony przez złośliwy aplet z witryny WWW.

- aktualizacja cscope do wersji 15.6, usuwająca kilka luk w zabezpieczeniach, jak na przykład możliwość przepełnienia bufora, czy niezabezpieczone zakładanie plików tymczasowych.

- poprawki programu iChat i mDNSResponder usuwające błąd w UPnP IGD (Internet Gateway Device Standardized Device Control Protocol) umożliwiający atakującemu wykonanie złośliwego kodu, lub zamknięcie aplikacji poprzez wysłanie spreparowanego pakietu z sieci lokalnej.

- poprawki błędów w systemie Kerberos, a dokładniej w module administracyjnym kadmind, które mogły prowadzić do wykonania złośliwego kodu z uprawnieniami systemowymi, lub zamknięcia aplikacji.

- poprawka błędu w bibliotece PDFKit, który umożliwiał uruchomienie złośliwego kodu w przypadku otwarcia złośliwie spreparowanego pliku PDF.

- aktualizacja PHP do wersji 4.4.7.

- poprawka Quartz Composer, uniemożliwiająca atakującemu wykorzystanie luki do uruchomienia złośliwego kodu. Specjalnie spreparowany plik mógł powodować błąd niezainicjalizowanego obiektu, który mógł być z kolei wykorzystany do zamknięcia aplikacji lub uruchomienia złośliwego kodu.

- poprawki dla Samby, usuwające błąd przepełnienia bufora, mogące doprowadzić do uruchomienia złośliwego kodu oraz błąd polegający na możliwości nieautoryzowanego wykonania komend powłoki. Atakujący mógł wykorzystać luki wysyłając spreparowane żądania MS-RPC, które powodowało przepełnienie, lub "wstrzykiwało" komendy do wykonania. Usunięto także błąd przy zarządzaniu przywilejami, który mógł prowadzić do ominięcia i tym samym przekroczenia dopuszczalnych rozmiarów konta (ang. quota).

- aktualizacja SquirrelMail do wersji 1.4.10, usuwająca między innymi możliwość ataku cross-site scripting przy oglądaniu wiadomości e-mail w HTML-u.

- aktualizacja serwera Tomcat do wersji 4.1.36 usuwająca różnego rodzaju błędy, z których najpoważniejsze to możliwość ataku cross-site scripting i ujawnienia informacji.

- poprawki w Webkit związane z obsługą ustawienia umożliwiającego, lub zapobiegającego uruchamianiu apletów Javy. Poprawiono także obsługę międzynarodowych domen IDN (International Domain Name) i czcionki Unicode używane przez Safari, a także bibliotekę wyrażeń regularnych PCRE (Perl Compatible Regular Expressions).

- poprawki w WebCore usuwające między innymi błąd przy parsowaniu komentarzy w tytule dokumentu HTML, umożliwiający atak cross-site scripting. Poprawiono także usterkę w obsłudze wyskakujących okienek, która umożliwiała ujawnienie informacji, a także ulepszono czyszczenie globalnych informacji przez przeglądarkę Safari przy przechodzeniu na kolejną witrynę.

Oprócz tego pojawiła się także pierwsza aktualizacja przeznaczona dla iPhone'a. Usuwa ona między innymi lukę, którą ma być za dwa dni zaprezentowana na konferencji Black Hat. Oprócz niej usuwa jeszcze cztery inne związane z Webkit, WebCore i Safari.

Ostatnią aktualizacją jest przeglądarka Safari przeznaczona dla systemów rodem z Redmond. Doczekała się ona oznaczenia 3.0.3 i dalej pozostaje w fazie beta, jednak powoli staje się zdatna do użytku. Więcej o tej aktualizacji można dowiedzieć się z witryny producenta.