外界揭露Mac OS X内部有几个尚未修补的安全漏洞,可能带给使用者重大的风险,苹果电脑公司已着手调查。
加州Mission Viejo安全研究员Tom Ferris上周四(20日)对外声称,苹果的操作系统内有七项安全漏洞,可能陷使用者于遭受网络攻击的险境。最严重者,可能让攻击者偷偷在使用者的电脑上执行恶意程序。
苹果软件技术部副总裁Bud Tribble说:“我们已着手调查并解决这个问题。值得注意的是,虽然这些是潜在的弱点,但目前为止外头尚无相关的范本攻击程序(exploit),也尚未对消费者构成影响。”
Ferris点名的七项安全漏洞中,有五项与Mac OS处理BMP、TIFF和GIF等图形档的方式有关。另一个瑕疵涉及OS X解压缩Zip文件的方式有关。此外,Ferris还自称发现苹果Safari浏览器内含一些臭虫。
Ferris说:“影像档瑕疵是最令人担惊受怕的,因为这让攻击者有多重的渠道入侵主机。他们可以轻而易举地利用这些漏洞执行想执行的程序,使用者很难察觉得到。”
他说,苹果已在10.4.6版更新程序里默默修补其中一个与TIFF图形有关的安全漏洞,其余的软件错误仍未亡羊补牢。他表示,今年稍早就告知苹果有这些问题。
苹果认为,对外披露这类安全漏洞于事无补。大多数软件公司也采取同样的立场。
Tribble说:“我们不认为,把潜在的问题对外公开,对我们的顾客能提供更好的服务。我们认为,一般而言,真正需要知道这些问题的,是实际在为软件出错的人士。”
Ferris以往也曾在官方修补程序发布前揭露多项苹果产品的安全漏洞,包括iTunes和QuickTime以及Firefox网页浏览器,都被他揪过错。
安全监督公司Secunia与法国安全事故应对小组(FrSIRT)分别把最新发现的Mac OS X安全问题评为“高度危急”(highly critical)和“危急”(critical)。
Secunia的安全通告说:“多重的弱点已在苹果Mac OS X上指认出来,可能被攻击者利用来执行随心所欲的指令,或发动阻断服务攻击(denial of service)攻击。”该公司建议切勿浏览不受信赖的网站,也勿开启可疑的Zip文件或图形。
Apple预计在下次的安全更新中解决上述问题,但未透露何时可能发布修补程序。
Tribble说:“我们的目标是尽速发布。但多快会发布,仍得视许多变数而定,包括我们取得多少信息,和问题的复杂程度。”
