Apple včera vydal další bezpečnostní aktualizaci pro Mac OS X 10.5.8 (Server i Klienta) a pro Mac OS X 10.6.3 (server i klienta). Aktualizace řeší jedinou chybu a to problém s ATS:
CVE-ID: CVE-2010-1120
Pro: Mac OS X 10.5.8 Server i klient, Mac OS X 10.6.3 Server i Klient
Dopad: Zobrazení nebo stažení dokumentu obsahujícího upravené písmo může vést ke spuštění nežádoucího kódu
Popis: Apple Type Services nekontroluje index ve vložených písmech. Zobrazení nebo stažení dokumentu obsahujícího vložené písmo může pak vést ke spuštění nežádoucího kódu. Problém je vyřešen lepší kontrolou indexu. Poděkování patří Charlie Millerovi pracujícímu v Tipping Point's Zero Day Initiative.
Apple potvrdil, že se jedná o chybu, kterou objevil Charlie Miller a díky které si odnesl v Pwn20wn soutěži odměnu za nabourání se do operačního systému (10 000 dolarů, hacknutý MacBook Pro a letenku do Las Vega na letní DefCon konferenci). Součástí podmínek bylo, nepublikovat chybu a nahlásit ji výrobci. V té době všichni věřili, že se jedná o chybu v Safari, podle všeho však chyba byla v knihovně ATR, kterou Safari používá. Chyba byla tedy nahlášena 26.3.2010. 14.4.2010 byla opravena - jestli se vám to zdá rychle opraveno nebo pomalu, záleží na vás.
Je však toho více. Apple stále ještě neopravil chybu v iPhone OS, kterou objevil Vincenzo Iozzo a Ralf Philipp Weinmann, která dovoluje přístup k datům iPhone telefonu. Charlie Miller také již dříve oznámil, že nebude prozrazovat všechny chyby, které našel v operačních systémech jeho důvody viz zde.
Odkazy z novinek:
