Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ujawniono nowe luki w zabezpieczeniu systemu Mac OS X

Tagi:

Ekspert ds. bezpieczeństwa i naukowiec Tom Ferris ujawnił szczegóły kilku nowych luk w zabezpieczeniu Mac OS X. Większość z tych luk dotyczy błędów podczas przetwarzania wadliwych plików graficznych. Wszystkie zostały zgłoszone firmie Apple, która zapowiedziała udostępnienie łaty, odmówiła jednak podania szczegółów dotyczących daty jej opublikowania.

Według Ferrisa, najpoważniejsza luka dotyczy przeglądarki Safari w wersji 2.0.3 i wszystkich starszych wersjach. Wykryto błędy w funkcjach obsługujących znaczniki HTML, które mogą spowodować awarię aplikacji lub pozwolić osobie atakującej na wykonanie dowolnego kodu na komputerze ofiary.

Inne zgłoszone luki w zabezpieczeniu zostały ocenione jako umiarkowanie krytyczne i dotyczą problemów w OS X występujących podczas obsługi wadliwych plików graficznych takich jak BMP, GIF oraz TIFF. Możliwy scenariusz ataku zakłada stworzenie przez szkodliwego użytkownika specjalnie spreparowanego obrazu, który spowoduje awarię programu do przeglądania lub edycji plików graficznych, takich jak aplikacje Safari of Preview, a nawet pozwoli na wykonanie dowolnego kodu.

Pozostała luka również została oceniona jako umiarkowanie krytyczna i występuje na skutek przepełnienia sterty (ang. heap overflow) w domyślnej aplikacji obsługującej pliki ZIP w systemie Mac OS X. Luka ta również powoduje awarię aplikacji i może pozwolić na wykonanie dowolnego kodu na komputerze ofiary.

Secunia ocenia te luki jako “wysoce krytyczne”, ponieważ mogą one pozwolić na zdalne wykonanie kodu i przeprowadzenie ataków DoS. Tom Ferris twierdzi, ze wszystkie te luki zostały zgłoszone firmie Apple jeszcze w styczniu. Z kolei firma Apple zapewnia, że luki te zostaną usunięte w udostępnionej wkrótce łacie, jednak odmawia podania konkretnych szczegółów dotyczących daty jej publikacji. “To, jak szybko zostanie udostępniona łata, zależy od wielu czynników związanych z tym, jak wiele informacji uzyskamy i jak złożone okażą się problemy” - powiedział Bud Tribble z firmy Apple. Podkreślił również, że firma Apple wolałaby, gdyby informacje o lukach w zabezpieczeniu nie zostały publicznie udostępnione. “Sądzimy, że nasi klienci nic nie zyskają na publicznym ujawnieniu informacji o potencjalnych problemach bezpieczeństwa” - cytuje jego wypowiedź ZDNet. “Uważamy, że o problemach bezpieczeństwa zasadniczo powinny zostać poinformowane tylko te osoby, które potrafią naprawić błędy”.

Źródło:
ZDNet
vnunet.com