Apple vydal sadu důležitých bezpečnostních aktualizací, mimo jiné řeší chybu z hackerské soutěže (2.5.07) - MujMAC.cz - Apple, Mac OS X, Apple iPod

2. května 2007, 08.00 | Apple vydal bezpečnostní aktualizace pro QuickTime (verzi 7.1.6, řeší též široce medializovanou chybu z kanadské soutěže hackerů), pro Mac OS X (Tigera a Panthera) a pro AirPort Extreme.

Apple včera vydal celou sadu bezpečnostních aktualizací, opravujících různé chyby a zranitelnosti, z nichž jedna vzbuzovala v minulých dnech dost velký rozruch.

QuickTime 7.1.6

Mediálně asi nejviditelnější bude nový QuickTime 7.1.6. Vedle bezpečnostních oprav přináší i nové funkce, QuickTime Player nyní podporuje časový kód a zobrazování skrytých titulků. Verze pro Mac navíc zahrnuje podporu pro Final Cut Studio 2.

Především však řeší kriticky důležitý bezpečnostní problém v QuickTimu pro Javu, který mohl dovolit čtení a zápis mimo alokovanou paměť. Nalákáním uživatele na webovou stránku se záškodnickým javovým apletem by útočník mohl nechat spustit libovolný (potenciálně nebezpečný) kód. Aktualizace toto řeší zavedením dodatečných kontrol.

Chybě se dostalo značné mediální pozornosti, protože byla poprvé odhalena 20. dubna na kanadské bezpečnostní konferenci CanSecWest. Firma TippingPoint (divize 3Comu), prodávající bezpečnostní řešení, vyhlásila program Zero Day Initiative pro hledání podobných chyb, kdy úspěšným nálezcům vyplácí finanční odměny. Na zmíněné konferenci se soutěžilo o 10 000 USD a MacBook Pro pro toho, kdo se do Maca prolomí. Dino Dai Zovi, žijící v New Yorku, vyvinul útok využívající tuto slabinu a poslal ho příteli Shanovi Macaulaymu z kanadského Vancouveru, jenž se s ním zúčastnil oné soutěže a průlom uskutečnil. To samozřejmě vzbudilo značný ohlas a rozpoutalo spoustu diskusí o bezpečnosti Mac OS X. Ovšem po záplavě více či méně hlubokomyslných řečí se za necelý týden ukázalo, že podstata útoku spočívá v QuickTimu (v tom, jak QuickTime Media Player spolupracuje s Javou) a ohrožuje stejnou měrou i stroje s Windows.

A za další týden tady máme řešení – stačí nainstalovat verzi 7.1.6, Apple ji (nijak překvapivě) doporučuje všem uživatelům QuickTimu 7. Mimochodem v popisu bezpečnostní opravy QuickTimu 7.1.6 Apple za ohlášení problému děkuje Dino Dai Zovimu, firmě TippingPoint a iniciativě Zero Day Initiative.

Novou verzi získáte buď přes Software Update, anebo si ji lze stáhnout z webu Applu, verzi pro Maca (43,6 MB) najdete tady, verze pro Windows (19,1 MB) se nabízí zde. (Pokud jde o dostupnost českých verzí, o ní byste se měli informovat na tomto webu, shromažďujícím všechny oficiální české lokalizace pro Macy. Web poskytuje také RSS kanál, takže můžete mít informace o dostupných lokalizacích opravdu pohotově. Samotné lokalizace ovšem proti anglickým verzím obvykle přicházejí s jistým zpožděním, což ale platí i pro software ostatních platforem.)

Apple včera vydal ještě další aktualizace, ty už proberu stručněji:

Security Update 2007-004 pro Mac OS X 10.4 Tiger

Pro Tigera Apple letos vydává již čtvrtou bezpečnostní aktualizaci, jež řeší problémy s komponentami AFP Client, AirPort, CarbonCore, diskdev_cmds, fetchmail, ftpd, gnutar, Help Viewer, HID Family, Installer, Kerberos, Libinfo, Login Window, network_cmds, SMB, System Configuration, URLMount, Video Conference a WebDAV.

Ke staženi se nabízí buď jako univerzální verze (15,7 MB) tady, anebo pouze pro PowerPC stroje (9.1 MB) zde.

Security Update 2007-004 Mac OS X 10.3 Panther

Podobnou bezpečnostní aktualizaci Apple vydal rovněž pro předchozí verzi Mac OS X, Panthera. Ta opravuje potenciální zranitelnosti v komponentách AFP Client, AirPort, diskdev_cmds, fetchmail, ftpd, Help Viewer, Kerberos, Libinfo, Login Window, network_cmds, SMB, System Configuration, URLMount, Video Conference, WebDAV a WebFoundation, stáhnout si ji lze odtud (zabírá 36,7 MB) a jde o aktualizaci pro klientskou verzi systému.

AirPort Extreme Update 2007-003

Celou tuhle várku májových aktualizací završuje třetí letošní aktualizace softwaru AirPort Extreme pro spolupráci s bezdrátovými zařízeními. Apple ji doporučuje pro všechny Macy s procesory Intelu, obsahuje aktualizace zlepšující kompatibilitu s některými bezdrátovými přístupovými body jiných výrobců, používají-li zabezpečení WPA či WPA2. (To je docela důležité, protože jedině bezdrátové sítě s takovouto ochranou lze považovat za bezpečné.) Stáhnout se dá z této stránky (zabírá pouhé 3 MB).

Shrnutí

Tímto by snad měl trochu utichnout mediální povyk spojený s onou chybou v QuickTimu. Právě přílišná publicita mě odrazovala o celé věci informovat dřív, nebyl jsem si jistý, zda prvotní zprávy jsou skutečně přesné – a jak vidět, nebyly. Nikdo soudný nebude tvrdit, že je Mac OS X naprosto neprůstřelný, ovšem radostné halekání při každé jeho objevené chybě není o mnoho inteligentnější. Apple zareagoval docela rychle, a bude-li jeho oprava účinná (o tom se jistě brzy přesvědčíme, na vyzkoušení se určitě již třesou celé zástupy hackerů), už toho mnoho k řešení nezbude.

Zdá se, že se Apple v oblasti zabezpečení začal chovat celkem rozumně, ostatně ono mu v podstatě ani nic jiného nezbývá, vzhledem k mediální pozornosti, jaké je vystaven.