吳明宜一個針對蘋果Mac OS X 10.5和10.6版作業系統弱點而來的概念驗證攻擊程式碼,SecurityReason安全通報將此弱點的風險評為「高度」,宣稱遠端攻擊者可能利用此一弱點進行攻擊。
 |
| Apple Mac OS Snow Leopard |
一個針對蘋果 Mac OS X 10.5 和 10.6 版作業系統弱點而來的概念驗證攻擊程式碼,上周五由 SecurityReason 安全研究人張貼公佈出來。
這個弱點是使用 Mac OS X 底層 Unix 程式中的 strtod 功能中可能產生的緩衝溢位瑕疵。去年 6 月 Maksymilian Arciemowicz 首次披露這個瑕疵。
SecurityReason 安全通報描述,Mac OS X 、 OpenBSD 、 NetBSD 、 FreeBSD 及 Google Chrome 、 Mozilla Firefox 與其它 Mozilla 軟體、 Opera 、 KDE 與 K-Meleon 中都存在這個 libc/gdtoa 程式碼中的瑕疵。
SecurityReason 安全通報將此弱點的風險評為「高度」,宣稱遠端攻擊者可能利用此一弱點進行攻擊。
SecurityReason 並未立即回應這項弱點被利用的可能性。
去年夏天,FreeBSD 和 NetBSD 中的弱點就已解決。不久後,Google 、 Mozilla 和其他廠商也都相繼修補。但蘋果顯然沒有更新軟體。
蘋果並未立即對此回應。
安全公司如賽門鐵克、 Websense 和 Zscaler 對 2010 年的預測都指出,愈來愈多攻擊目標將轉向 Mac 和其他蘋果裝置。
某種程度可能過於一廂情願,不過 Mac 使用者的確應該多擔心一下安全問題,像是使用內建 Mac OS X 的防火牆和留意造訪的網站及開啟的郵件。
如今一些重大安全問題都與網頁軟體及跨平台軟體,如 Adobe 的 Acrobat 和 Acrobat Reader 等有關。