Apple-beheerders krijgen flinke patch
Gepubliceerd: Woensdag 13 mei 2009
Auteur: Michiel van Blommestein
Niet alleen Microsoft heeft gisteravond lopen patchen, ook Apple heeft een flinke lading security-updates vrijgegeven voor Mac OS X. Het 'Pwn2own'-gat is daarmee niet meer.
Apple heeft de lekken aangepakt met de nieuwe versie van Mac OS X Leopard, 10.5.7, terwijl gebruikers van Tiger kunnen pleisteren met Security Update 2009-002. In totaal zijn 67 lekken gedicht, verdeeld over 46 patches. Daarmee is het de grootste patch sinds begin vorig jaar, toen Apple 96 kwetsbaarheden verhielp.
Op de lijst van gedichte gaten staan vooral veel implementaties van open source componenten, zoals Apache en de Webkit rendering engine die in Safari is toegepast. Ook drie gaatjes in Flash, waarvoor Adobe een patch in februari ter beschikking heeft gesteld, zijn met de nieuwe update om zeep geholpen. Zesentwintig kwetsbaarheden maken uitvoer van willekeurige code mogelijk. Apple maakt geen gebruik van een dreigingsschaal.
Met de verzameling patches zijn nu ook de kwetsbaarheden verholpen waarmee een hacker bijna twee maanden geleden 5000 dollar en een MacBook opstreek tijdens de Pwn2own-wedstrijd op CanSecWest. De kwetsbaarheid zat in Apple Type Services, waardoor de hacker in 10 seconden binnen was op het doelsysteem. Tijdens dezelfde wedstrijd ging later ook Webkit eraan, maar ook dat probleem is verholpen.
Voor Safari heeft Apple een aparte patch uitgegeven. De reguliere versie komt op 3.2.3, terwijl dezelfde lekken ook zijn aangepakt in de publieke bèta van Safari 4.
Bron: Techworld
