Video: Restore Mac OS or Re-install Mac Os Using Internet Recovery for Mac Operating System (Tháng Chín 2024)
Apple đã sửa một số lỗ hổng nghiêm trọng trong OS X, trình duyệt Safari Web và một số gói bên thứ ba như một phần của bản cập nhật đáng kể. Các bản vá có sẵn trên Cập nhật phần mềm và người dùng nên đảm bảo các bản sửa lỗi được áp dụng ngay lập tức.
Các bản cập nhật, ảnh hưởng đến tất cả các phiên bản được hỗ trợ của OS XTHER Mountain Lion (10.8), Lion (10.7) và Snow Leopard (10.6) đã đóng một số lỗi thực thi mã từ xa trong hệ điều hành và Safari, Apple cho biết trong lời khuyên được đăng ngày hôm qua . Các bản vá cũng giải quyết các vấn đề trong QuickTimes và việc triển khai OS X của OpenSSL và Ruby. Các con bọ Ruby hiện đang được khai thác trong tự nhiên.
Nhiều lỗ hổng gần đây đã được xác định trong Ruby on Rails, nghiêm trọng nhất có thể dẫn đến việc kẻ tấn công thực thi mã từ xa trên các hệ thống chạy ứng dụng Rails. Apple đã giải quyết tám lỗ hổng khác biệt bằng cách cập nhật Ruby on Rails trong OS X lên phiên bản 2.3.18. Vấn đề này có thể sẽ ảnh hưởng đến các hệ thống OS X Lion hoặc OS X Mountain Lion đã được nâng cấp từ Mac OS X 10.6.8 trở về trước, Apple cho biết.
Bản sửa lỗi OS X
Apple đã sửa một số lỗi thực thi mã từ xa trong hệ điều hành. Những kẻ tấn công có thể khai thác một lỗ hổng như vậy trong thành phần CoreAnimation, trong đó tất cả những gì người dùng phải làm là duyệt đến một URL được tạo độc hại để bị xâm phạm. Một lỗi khác trong thành phần Playback của anh ta có thể bị khai thác với tệp phim được tạo thủ công độc hại, Apple cho biết. Có bốn bản vá khác nhau để sửa lỗi cho các lỗi thực thi mã từ xa có thể bị khai thác bởi các tệp MP3, FPX, QTIF và các tệp phim khác.
Một lỗi thực thi mã từ xa nghiêm trọng khác là trong thành phần Dịch vụ thư mục, nhưng nó chỉ ảnh hưởng đến người dùng có hệ thống Snow Leopard đã kích hoạt dịch vụ. Dịch vụ thư mục theo dõi tất cả thông tin xác thực người dùng và nhóm bằng các nền tảng khác nhau, bao gồm chia sẻ tệp Active Directory, LDAP, AppleTalk và SMB. Apple đã thay thế Dịch vụ Diectory bằng Thư mục mở trong Lion và Mountaion Lion.
Những kẻ tấn công có thể khai thác lỗ hổng bằng cách gửi một thông điệp độc hại qua mạng để khiến máy chủ thư mục bị sập hoặc thực thi mã từ xa, Apple cho biết.
Các vấn đề về OpenSSL, Safari
Apple đã khắc phục 13 sự cố trong OpenSSL, một trong số đó sẽ cho phép kẻ tấn công khởi động cuộc tấn công CRIME, nơi kẻ tấn công có thể giải mã các phiên được bảo vệ SSL. Cuộc tấn công nén vào TLS 1.0 được phát triển bởi các nhà nghiên cứu bảo mật Thái Dương và Juliano Rizzo.
Safari mới, phiên bản 6.0.5, đã sửa 23 lỗ hổng thực thi mã từ xa riêng biệt và ba lỗ hổng kịch bản chéo trang. Các vấn đề đều liên quan đến công cụ WebKit cung cấp năng lượng cho trình duyệt.
"Nhiều vấn đề tham nhũng bộ nhớ đã tồn tại trong WebKit, " Apple nói trong lời khuyên của mình.
Những vấn đề này khiến người dùng Mac gặp phải các cuộc tấn công lây nhiễm qua trình duyệt và những kẻ tấn công sẽ có thể thực thi mã bên ngoài trình duyệt và trực tiếp trên hệ thống mà không cần sự cho phép của người dùng. Các lỗi kịch bản chéo trang cũng cho phép kẻ tấn công tạo các trang độc hại chứa các yếu tố từ các trang hợp pháp để lừa người dùng nghĩ rằng các trang giả mạo này là đáng tin cậy.
Nhận bản cập nhật đó
Người dùng sử dụng Cập nhật phần mềm của Apple sẽ tự động cập nhật chính xác. Người dùng quyết định thực hiện thủ công sẽ cần lấy bản cập nhật OS X 10.8.4 (bao gồm Safari 6.0.5) cho Mountaion Lion và Security Update 2013-002 (không bao gồm bản cập nhật Safari) cho Snow Leopard và Lion hệ thống. Xin lưu ý rằng Snow Leopard không có phiên bản Safari mới vì nó vẫn còn trên Safari 5.
