Apple'dan gelen ücretsiz hediyeleri, özellikle de ücretsiz yazılım güncellemelerini herkes sever. Ücretsiz daha iyi şeyler - kim tartışabilir? Yine de Apple, 15 Kasım'dan Kasım'a kadar iki haftalık bir süre içinde dört yazılım güncellemesi yayınladığında 29, büyük ve büyük ölçüde belgelenmemiş bir Mac OS X güncellemesinin hemen ardından gelen, herkese vermek için yeterliydi Duraklat.
Bu son güncellemelere biraz ışık tutmak için şuna bir göz atalım: Güvenlik Güncellemesi 2005-009, grubun en önemli ve en yaygın olanı.
Güvenlik Güncellemesi 2005-009
29 Kasım sürümü hakkında kafanız daha da karışmış olabilir. Güvenlik Güncellemesi 2005-009 en azından Mac OS X 10.3.9 çalıştırıyorsanız normalden daha fazla. Piyasaya sürüldüğü ilk gün, Apple'ın indirme sayfasındaki bağlantılar koptu ve tarayıcınızı hiçbir şeye yönlendirdi. Yazılım Güncellemesi, Güvenlik Güncellemesi 2005-009'u Mac OS X 10.3.9 sistemlerinde doğru bir şekilde sundu ve indirdi, ancak onu bir tarayıcıdan manuel olarak indirmek isteyenler bir sonraki günü beklemek zorunda kaldı.
Bu sorun çözüldüğünde, Apple'ın 2005'teki dokuzuncu güvenlik güncelleştirmesi beklenen dört yapılandırmada mevcuttu: Mac OS X 10.3.9, Mac OS X için Sunucu 10.3.9, Mac OS X 10.4.3 ve Mac OS X Sunucu 10.4.3. Tiger sürümleri, normal ve sunucu sürümleri için 5MB ve 6MB'dir, sırasıyla; Panther sürümleri sırasıyla 20MB ve 33MB'dir. Panther sürümleri, Tiger sürümlerinden farklı olarak, Güvenlik Güncellemeleri 2005-008 ve 2005-007'de bulduğumuz dosyalar da dahil olmak üzere önceki güncellemelerden düzeltmeler içerdiğinden daha büyükler. Tiger sürümleri, daha eski düzeltmeleri içermez çünkü Mac OS X 10.4.3Cadılar Bayramı'nda yayınlanan ve Güvenlik Güncellemesi 2005-008 ve önceki düzeltmeleri içeren.
Bu, bu arada, Mac OS X 10.4.3'ün daha önce herhangi bir güvenlik güncellemesinde bulunmayan yeni güvenlik düzeltmelerini içermediği anlamına gelmez. öyle. Mac OS X 10.4.3'te kapatılan belgelenmiş beş güvenlik açığı aşağıdaki tabloda özetlenmiştir. Bunlardan ikisi, grup üyeliği veya dosya sahipliğinde yanıltıcı veya gecikmeli değişiklikler içeriyor, bir diğeri ise Anahtar Zinciri Erişiminin görüntülenen herhangi bir değişikliği gizleyememesiyle ilgili. anahtar zincirleri bir zaman aşımı nedeniyle kilitlendiğinde şifreler ve bir başkası, yeni, yok sayılmayan bir güncelleme olmadıkça bekleyen bir Yazılım Güncellemesini yok saymanızı engeller. ulaşmış. (Bütün bunlar yeterince kafa karıştırıcı değilse, güvenlik açığı numaralarının tümü artık "CAN" yerine "CVE" ile başlıyor. yeniden adlandırma kararı 19 Ekim'de uygulandı.)
Mac OS X 10.4.3'teki Güvenlik Düzeltmeleri
| Bileşen | Sorun | Güvenlik açığı kimliği | 10.4.2 müşteri | 10.4.2 Sunucu |
|---|---|---|---|---|
| Bulucu | Görüntülenen dosya ve grup sahipliği bilgilerinin, gerçek sahiplik bilgileriyle çok az ilgisi olabilir. | CVE-2005-2749 | X | X |
| Yazılım güncellemesi | Mevcut tüm güncellemeleri "yoksay" olarak işaretlemek, Yazılım Güncellemesinin daha önce yok sayılan herhangi bir güncellemenin durumunu sıfırlama şansı vermeden anında kapanmasını sağladı. | CVE-2005-2750 | X | X |
| Anahtarlık Erişimi | Bir anahtarlık, söz konusu anahtarlıkta saklanan bir parolayı görüntülerken zaman aşımı nedeniyle kilitlenirse, anahtar zinciri kilitlendiğinde parola gizlenmek yerine görünür durumda kalır. | CVE-2005-2739 | X | X |
| üye | Değişiklikleri grup üyeliğine uygulayan arka plan programı, Erişim Kontrol Listelerini (ACL'ler) yeterince hızlı güncellemedi ve gruplardan silinen kullanıcıların grup dosyalarına erişmeye devam etmesine izin verdi | CVE-2005-2751 | * | X |
| Mach çekirdeği | Çekirdek arabirimleri, çekirdek tarafından gerçekten kullanılmış ve yayınlanmış olan "başlatılmamış" bellekten, potansiyel olarak artık hassas veriler içeren veriler döndürebilir. | CVE-2005-1126, CVE-2005-1406, CVE-2005-2752 | X | X |
X = Bu güncellemede düzeltildi; * = Etkilenen bileşen veya özellik hiçbir zaman bu sürümde bulunmadı
Mac OS X 10.4.3'te düzeltilen çekirdek güvenlik açığı, bir anlık açıklamayı hak ediyor. Programlar, kendi amaçları için kullanmak üzere işletim sisteminden bellek isterler ve işleri bittiğinde işletim sistemine geri bırakırlar, böylece işletim sistemi onu diğer RAM istekleri için yeniden kullanabilir. Çoğu program, belleği serbest bırakmadan önce belleğin içeriğini silmez, çünkü bu zaman alır ve genellikle gereksizdir. İşletim sistemi serbest bırakılan belleği aynı nedenle silmez.
Ancak çekirdek belleği silmeli BT Salıverme. Çekirdek, başlatılmamış belleği arayanlara asla iletmek istemez, çünkü arayan kişi daha sonra görebilir. diğer çekirdek kodlarının o RAM'de saklamış olduğu dosya arabelleği, parola, ağ paketi vb. Açık. Suresec bulundu iki problem bu, çekirdek belleğini Mac OS X'te (veya FreeBSD'de veya her ikisinde) arayanlara gösterebilir ve FreeBSD çalışanları diğerini buldu. Mac OS X 10.4.3, üçünü de düzeltir, ancak Apple, Mac OS X 10.3.9'un benzer kusurlardan muzdarip olup olmadığını açıklamadı.
Güvenlik Güncellemesi 2005-009, bu temele daha fazla düzeltme ekler. Güncellemenin dört ayrı sürümü için ek sütunlarla birlikte aşağıda özetlenmiştir. Tabloda görebileceğiniz gibi, hataların çoğu, daha önce tartıştığımız yaygın ve düzeltmesi kolay arabellek taşması sorunlarıdır. MWJ 2005.08.20. Diğer tipik hatalar, tarayıcının dosyaları “çok uzun” dosya adlarını tahmin edilemeyecek şekilde yanlış bir dizine veya JavaScriptCore'daki normal ifade motoruna olabilmek taşma arabellekleri kötü niyetli bir ifade ile.
Güvenlik Güncellemesi 2005-009 Düzeltmeleri
| Bileşen | Sorun | Güvenlik açığı kimliği | 10.3.9 | 10.3.9 Sunucu | 10.4.3 | 10.4.3 Sunucu |
|---|---|---|---|---|---|---|
| apaçi 2 | 2.0.55 sürümüne güncelleme, bazı ara sunucularda siteler arası komut dosyası çalıştırma sorunları dahil olmak üzere güvenlik açıklarını düzeltir | CVE-2005-2088 | * | X | * | X |
| apache_mod_ssl | SSLVerifyClient yönergesini kullanan yapılandırmalar, gerekli SSL istemci kimlik doğrulamasının atlanmasına izin verebilir | CVE-2005-2700 | X | X | X | X |
| çekirdek temel | Kötü amaçlarla oluşturulmuş URL, ayrıştırma sırasında arabelleği taşabilir | CVE-2005-2757 | * | * | X | X |
| Temel Hizmetler | Çekirdek Türlerine Güncelleme paketi, ".term" dosya adı uzantılı dosyaları (Terminal dosyaları) indirilen dosyaların "güvenli olmayan yürütülebilir" listesine ekler | Yok | * | * | X | X |
| kıvırmak | Kötü amaçlı bir HTTP sunucusuyla NLTM kimlik doğrulamasını kullanmak, bir arabelleği taşabilir ve rastgele kod çalıştırabilir | CVE-2005-3185 | * | * | X | X |
| adam sayfaları | OpenSSH ve PAM için güncellenmiş belgeler | Yok | # | # | X | X |
| ODBC Yöneticisi | Dahili iodbcadmintool programı, kök ayrıcalıklarıyla rasgele kod çalıştırmaya izin verebilir | CVE-2005-3700 | X | X | X | X |
| AçıkSSL | Uyumluluk seçeneklerini kullanırken veya SSLv2'yi açıkça devre dışı bırakamadığınızda SSLv2'ye (SSLv3 veya TLS'den) düşürmeyi önlemek için v0.9.7i'ye güncellendi | CVE-2005-2969 | X | X | X | X |
| Şifre sunucusu | Bir Açık Dizin ana sunucusu oluştururken potansiyel olarak güvenliği ihlal edilmiş kimlik bilgileri, ayrıcalığı olmayan yerel kullanıcıların yükseltilmiş sunucu ayrıcalıkları kazanmasına izin verebilir | CVE-2005-3701 | * | X | * | X |
| Hızlı çizim | “PICT” dosyalarının çizilmesinde belirtilmemiş gelişme | Yok | X | X | # | # |
| Safari | İndirmeler için sunucular tarafından önerilen uzun dosya adları, Safari'nin dosyaları yanlış bir konuma kaydetmesine, belki de diğer kullanıcıların erişebilmesine neden olabilir. | CVE-2005-3702 | X | X | X | X |
| Safari | JavaScript kodu tarafından oluşturulan iletişim kutuları artık kodu iletişim kutusunu oluşturan sitenin adını gösteriyor | CVE-2005-3703 | X | X | X | X |
| Safari | "Kredi kartı güvenlik kodu" işlemede belirtilmemiş iyileştirme | Yok | X | X | X | X |
| Sunucu Taşıma | Yardımcı programın ihtiyaç duymadığı gereksiz ayrıcalıkları kaldırır | Yok | ? | ? | ? | ? |
| sudo | Özel yapılandırmaların yetkisiz ayrıcalık yükseltmesine izin vermesini önlemek için 1.6.8p9 sürümüne güncelleyin | CVE-2005-1993 | X | X | X | X |
| sistem günlüğü | Yeni satır karakterleri içeren günlük mesajları, henüz gerçekleşmemiş olaylar için yeni mesajları simüle edebilir | CVE-2005-3704 | * | * | X | X |
| Web Kiti | JavaScript için PCRE motoru, rastgele kod yürütülmesine izin verebilecek potansiyel olarak kötüye kullanılabilir bir arabellek taşmasına sahiptir | CVE-2005-2491 | X | X | X | X |
| Web Kiti | Belirtilmemiş içeriğin indirilmesi, bir arabelleği taşabilir ve isteğe bağlı kod çalıştırabilir | CVE-2005-3705 | X | X | X | X |
X = Bu güncellemede düzeltildi; * = Etkilenen bileşen veya özellik hiçbir zaman bu sürümde bulunmadı; # = hata bu güncellemeden önce bu sürümde yoktu;? = bilinmiyor
Apple'ın güncelleme notları, aşağıdaki değişiklikleri açıklayan "ek bilgiler" olarak işaretlenmiş bir bölüm içerir: nedeni açıklanmayan, bir "Güvenlik Güncellemesi"ne dahil edilen ancak atanmış güvenlik açığı numarası olmayan. Bunlardan biri, Mac OS X 10.4.3 için “Terminal dosyalarının işlenmesini iyileştirmek için Çekirdek Türlerini” değiştirmektir. Bu, şu adreste bulunan bir XML dosyası aracılığıyla işlenir:
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/System. Daha önce tartışıldığı gibi, bu dosya hangi dosya türlerinin, MIME türlerinin ve dosya adı uzantılarının indirilmesi güvenli ve "tehlikeli" dosyaları temsil ettiğine dair sistemin fikrini içerir. Güvenlik Güncellemesi 2005-009, dosya adı uzantısını ekler
.terim"güvenli olmayan yürütülebilir dosyalar" kategorisine. Böyle bir dosyayı Safari'de veya Çekirdek Türlerini kullanan başka herhangi bir uygulamada indirdiğinizde, yürütülebilir kod içerebileceği konusunda uyarılacaksınız. (Safari, bunun "bir uygulama içerdiğini" söylüyor.) Tiger'da değişiklik yapmanız için yerleşik bir yol var. Çekirdek Türler ve kendi türlerinizi ekleyin veya sistemin varsayılanlarını geçersiz kılın, ancak Apple hala belgelememiştir. BT.
Bu "ek bilgi" endişe verici. Son birkaç yıldır Apple, güvenlik güncellemelerinde yalnızca güvenlik sorunlarını gidermeye özen gösteriyor. Güvenlikle ilgili olmayan hatalar, işletim sistemi revizyonlarını veya AirPort Güncellemesi veya DVD Oynatıcı Güncellemesi gibi ayrı kurulumları bekler. Çekirdek Türlerini sizi Terminal dosyaları hakkında uyarmak için güncellemek gibi değişiklikler, görünüşe göre "kredi kartı güvenlik kodlarının işlenmesini iyileştirmek için" Safari'yi güncellemek gibi, açıkça güvenlik düzeltmeleri olarak sayılır.
Ancak bunlar güvenlik sorunlarıysa, Apple neden onlar için CVE numaralarını alıp normal şekilde belgelemedi? QuickDraw PICT dosyalarının işlenmesini geliştirmenin güvenlikle ilgili nesi var? Güvenlik Güncellemeleri düzenli hata düzeltmeleri dahil etmeye başlarsa, zaten biraz kafa karıştırıcı olan bir sistem tamamen aşılmaz hale gelebilir. Bu, Apple'a veya müşterilerine fayda sağlamaz.
güncellemelerin büyüsü
OS X'in Yazılım Güncelleme özelliğinin, sizi güncellemeler konusunda uyararak sisteminizi yönetmeyi kolaylaştırması bekleniyor. acil olarak işaretlenmişlerse arka planda indirmeniz ve ihtiyacınız olduğunda sizin için yüklemeniz gerekir. hazır. Yine de Güvenlik Güncellemesi 2005-009 ve diğer güncellemelerle bunun gerçekleşmediğini biliyoruz çünkü okuyucular, arkadaşlar ve aile bize bunu söylemeye devam ediyor. Güncellemelerin ne yapması gerektiğini anlayamadıkları için Yazılım Güncellemesinin ne gösterdiğini görmezden gelirler.
Apple, Mac OS X Güncellemeleri veya Güvenlik Güncellemeleri için hiçbir zaman kamuya açık bir taahhütte bulunmadı, ancak genel olarak, ilki üç ayda bir, ikincisi ise aylık olarak geldi. Bu bir doğa kanunu değil, pratik bir kuraldır; 2005'te dokuz güvenlik güncellemesi ve kullanıma sunulduğu altı ayda üç Mac OS X 10.4 güncellemesi oldu. Ama yine de niyet, insanların güncellemeleri anlamalarına ve bunları uygularken kendilerine güvenmelerine yardımcı olur. Güvenlik Güncellemeleri her dört ila altı haftada bir gelir ve yalnızca saldırganların yararlanabileceği güvenlik açıklarını ele alır. Mac OS X güncellemeleri her üç ayda bir gelir ve işletim sistemindeki hem güvenlik hem de güvenlikle ilgili olmayan hataları düzeltir. Aradaki önemli güncellemeler, AirPort Extreme veya Java 2SE 5.0 gibi hedeflenen bileşenler için gelir.
Bu kolay, bu öngörülebilir, bu mantıklı - bir arada tuttuğu ölçüde. Hedefe giden yolun yüzde 80'ini almak için yeterince iyi değil. Son yüzde 20'yi atlamak, herkesin güncellemeler konusunda kafasını karıştırır ve iletişimin ilk yüzde 80'inin çalışmasını büyük ölçüde alakasız hale getirir. Bu çeyrekte olan buydu.
Mac OS X 10.4.3, çoğu Mac OS X güncellemesinden daha az belgelenmemiştir, ancak daha fazla bilgi yardımcı olabilirdi. Bundan sonra, içinde güvenlikle ilgili olmayan düzeltmeler olabilecek bir Güvenlik Güncellemesi, harika geliştirici sürüm notları içeren ancak neredeyse hiç kullanıcı açıklaması olmayan bir Java güncellemesi, zar zor belgelenmiş bir AirPort aldık. İki farklı adla (ve iki sürüm numarasına sahip bir sürümle), geniş bant kullanan çoğu kişi için doğru olmayan bir Geniş Bant Ayarlayıcıyla ve bir yıl gecikmiş bir üretici yazılımı güncellemesiyle güncelleme.
İnanılmaz derecede sinir bozucu çünkü Apple, güncellemelerin doğru şekilde çalışmasını sağlamaya çok yakın. Kurallar karmaşık değil.
Apple'ın güncelleme dili yüksek sesle "Utandığımız için size bu güncelleme hakkında çok fazla şey söylemek istemiyoruz" diye bağırıyor. bu konuda." Bu, çalışan sistemlere gizemli güncellemeler yükleme konusunda isteksiz olan insanların çoğuna zarar verir. Apple'ın Kasım güncellemelerinin her biri açıkça adlandırılmış, tanımlanmış ve sunulmuş olsaydı, herkes ne bekleyeceğini bilirdi. Ve hiç kimse bir Apple güncellemesinin ne işe yaradığını sormak zorunda kalmasaydı, dünyanın daha verimli uğraşlar için ne kadar zaman harcayabileceğini bir düşünün.
[ MacJournals.com tarafından yayınlanan MWJ'nin 10 Aralık sayısından izin alınarak alınmıştır. Telif hakkı 2005, GCSF Incorporated. Ücretsiz MWJ denemesi için şu adresi ziyaret edin: www.macjournals.com. ]