苹果释出安全更新修补50多个安全漏洞

　　近日，苹果公司发布四个安全更新，修补超过50个安全漏洞，涵盖的Mac OS X中的元件及的Windows版Safari浏览器。这是苹果今年度首次安全更新，也是近来最大规模的安全更新。

　　苹果所发布的四个安全更新分别为针对Mac OS X v10.4.11及Mac OS X v10.5.6操作系统部件的安全更新Security Update 2009-001;针对Mac OS X 10.5的Java部件更新;锁定的Mac OS X 10.4的Java部件更新;以及Safari浏览器3.2.2Windows版的更新，总计修补逾50个安全漏洞。

　　Updata 2009-001所修补的安全漏洞主要影响AFP服务器，苹果影片处理工具Pixlet Video、CarbonCore、CFNetwork、Certificate Assistant、ClamAV、CoreText、CUPS、DS Tools、fetchmail、Folder Manager、FSEvents、Network Time、perl、Printing、python、Remote Apple Events、servermgrd、SMB、SquirrelMail、X11、XTerm，以及Safari中的RSS 。

　　其中，Safari浏览器的RSS漏洞在Safari浏览器处理嵌入feed:URL的方式时存在多个输入验证问题，因此当使用者存取恶意的feed:URL时，可能导致执行任意程式。

　　在苹果公司发布安全更新后不久，Safari漏洞发现者之一的Brian Mastenbrook在其博客中警告用户，该Safari漏洞十分危险，指出该漏洞是Safari浏览器中RSS feed的设计失误，将远端的内容错认为使用者计算机中的内容，不论是苹果还是Windows系统的Safari浏览器都受此漏洞的影响，并可能导致跨站攻击(XSS)。

　　Mastenbrook表示，该漏洞很容易被发动钓鱼欺骗的攻击者利用，攻击者只需要架设一个网络服务器，当用户点击一个并不存在的页面时，自动回复一个含有恶意程序的页面给用户。他强调，早在去年7月他就提供了相关漏洞信息以及可存取使用者电脑中档案的POC文档给苹果公司，但苹果公司迟迟未予修补，使得他不得不在今年1月张贴该漏洞的警告，并建议使用者暂时关闭Safari浏览器中的RSS功能。

　　此外，苹果针对Mac OS X的10.5及10.5的Mac OS X等操作系统的Java部件的更新皆为修补Java网络启动与Java插件中的多个安全漏洞，其中最严重的漏洞可能会让不受信任的Java的应用提升使用权限。