• Thứ Ba, 11/08/2009 09:17 (GMT+7)

    Apple vá 18 lỗ hổng Mac, tung ra OS X 10.5.8

    Hôm 6/8/2009, Apple đã vá 18 lỗ hổng trong Mac OS X, 6 lỗi trong số này có thể cho phép tin tặc chiếm đoạt máy tính.

    Bản cập nhật bảo mật Security Update 2009-003 được phân phối cùng với Mac OS X 10.5.8 cho người dùng Leopard và được phân phối riêng rẽ cho người dùng Tiger, “bịt” các lỗ hổng ttrong nhiều thành phần (từ ColorSync, Dock tới nhân, MobileMe). Trong số 18 lỗ hổng này, ông Andrew Storms, giám đốc các hoạt động bảo mật của nCircle Network Security tỏ ra chú ý đặc biệt tới 6 lỗ hổng trong nhiều định dạng file ảnh.

    Theo ông Storms, lỗ hổng trong định dạng file PNG (Portable Network Graphics) là đáng quan tâm nhất. PNG là định dạng được dùng trên nhiều website và tin tặc có thể kích hoạt lỗi bằng cách lừa người dùng ghé thăm những website “độc”.

    4 lỗ hổng định dạng file ảnh khác mà Apple vá nằm trong thành phần ImageIO của HĐH Mac (dùng để xử lý định dạng ảnh OpenEXR do Lucasfilm phát triển). Lỗ hổng thứ 6 cũng nằm trong ImageIO, có thể dùng các file Canon RAW dị thường để khai thác.

    Apple cho biết, có 2 lỗi ảnh hưởng tới Safari nhưng không thực sự nằm trong trình duyệt. 1 lỗi khác nằm trong trình nén dữ liệu nguồn mở "bzip2". Cả 18 lỗ hổng được vá đợt này đều nằm trong mã của chính Apple.

    Ông Storms cũng lưu ý về lỗ hổng MobileMe. Tuy không nghiêm trọng nhưng lỗ hổng này có thể bị những đồng sự, bạn bè không tốt dùng để truy cập tài khoản của người dùng.

    10/18 lỗ hổng bị Apple đánh giá là “có thể thực thi mã bất kỳ” (tức là mức “nghiêm trọng”, có thể bị khai thác để làm thương tổn máy Mac. Người dùng Mac OS X có thể tải thủ công Security Update 2009-003 về từ website của Apple rồi tự cài đặt hoặc sử dụng dịch vụ cập nhật tích hợp trong HĐH.


    Bạch Đình Vinh
    Theo Computerworld, 6/8/2009

    ID: O0908_1