Komponenter

Apple-oppdateringen fastsetter endelig viktig DNS-feil

Apple November 10 Event! Silicon Macs, AirTags, iOS 14.2 & More

Apple November 10 Event! Silicon Macs, AirTags, iOS 14.2 & More
Anonim

Apple har gitt ut en sikkerhet oppdatering for operativsystemet Mac OS X, og fikser en kritisk sikkerhetsfeil på Internett som selskapet ikke klarte å plukke riktig i slutten av juli.

Sikkerhetsoppdateringen Mac OS X v. 10.5.5 ble utgitt på mandag, og fikser sikkerhetsproblemer i Apples programvare, samt flere open source-komponenter som leveres med operativsystemet. Alt i alt har mer enn 25 feil blitt patched.

Men Internett-feilen, som har å gjøre med Domain Name System (DNS), er det mest publiserte problemet.

Apple, som mange andre operativsystemer leverandørene, ble tvunget til å lappere sin DNS-programvare etter sikkerhetsforsker Dan Kaminsky oppdaget en grunnleggende feil i måten denne typen programvare er bygget på.

Apple hadde forsøkt å patchere feilen i Mac OS X, men sikkerhetseksperter oppdaget raskt at Apple's feilretting fungerte på server siden, men det løste ikke problemet på klientprogramvaren.

Med mandagens lapp har Apple løst en feil i Mac OS X Libresolv DNS-programvaren som kunne ha tillatt angriperne å trickoffer til å besøke ondsinnede nettsteder ved hjelp av det som er kjent som et cache-forgiftningsangrep, sier Andrew Storms, direktør for sikkerhetsoperasjoner med sikkerhetsleverandøren nCircle.

Libresolv vedlikeholdes av ISC-konsernet Internet Systems. Selv om ISC hadde patched Libresolv ved Apples siste sikkerhetsoppdatering, tok selskapet ikke med denne feilrettingen i juli-sikkerhetsoppdateringen, sa Storms.

Etter å ha testet 10.5.5-oppdateringen mandag, sa han at Mac OS X klienten gjør nå den nødvendige adresseportaliseringen som ble lagt til i ISCs feilretting. Dette er nødvendig for å gjøre et cache-forgiftningsangrep mye vanskeligere å trekke av.

Også patched Monday var vanlige Mac OS-komponenter som Finder, Time Machine og Mac OS-kjernen, samt open source-komponenter, inkludert Ruby ClamAV og OpenSSH.

Minst ni av patchene retter feil som muligens kan utnyttes av angripere til å kjøre uautorisert programvare på et offers datamaskin.