Vídeo: Falha GRAVE da UOL permite invasão por um simples envio de E-MAIL 🔥 (Outubro 2024)
A Apple corrigiu várias vulnerabilidades sérias no OS X, o navegador Safari e vários pacotes de terceiros como parte de uma atualização substancial. Os patches estão disponíveis na Atualização de software e os usuários devem garantir que as correções sejam aplicadas imediatamente.
As atualizações, que afetam todas as versões suportadas do OS X - Mountain Lion (10.8), Lion (10.7) e Snow Leopard (10.6) - e fecharam várias falhas de execução remota de código no sistema operacional e no Safari, informou a Apple em seu comunicado divulgado ontem.. Os patches também abordaram problemas no QuickTimes e na implementação do OS X do OpenSSL e Ruby. Atualmente, os bugs do Ruby estão sendo explorados na natureza.
Várias vulnerabilidades foram recentemente identificadas no Ruby on Rails, a mais grave das quais pode resultar em invasores executando remotamente o código em sistemas executando aplicativos Rails. A Apple abordou oito vulnerabilidades distintas atualizando o Ruby on Rails no OS X para a versão 2.3.18. Esse problema provavelmente afetará os sistemas OS X Lion ou OS X Mountain Lion que foram atualizados a partir do Mac OS X 10.6.8 ou anterior, informou a Apple.
Correções do OS X
A Apple corrigiu vários erros de execução remota de código no sistema operacional. Os invasores podem explorar uma dessas falhas no componente CoreAnimation, onde tudo que o usuário precisa fazer é procurar um URL criado com códigos maliciosos para ficar comprometido. Outro bug no componente Playback pode ser explorado com um arquivo de filme criado com códigos maliciosos, disse a Apple. Existem quatro patches diferentes para a correção rápida do QuickTime, que podem ser explorados por arquivos MP3, FPX, QTIF e outros arquivos de filmes criados com códigos maliciosos.
Outro erro grave na execução remota de código estava no componente Serviço de Diretório, mas afetou apenas usuários com sistemas Snow Leopard que ativaram o serviço. O Serviço de Diretório rastreia todas as informações de autenticação de usuários e grupos usando várias plataformas, incluindo o Active Directory, LDAP, AppleTalk e compartilhamento de arquivos SMB. A Apple substituiu o Diectory Service pelo Open Directory no Lion e no Mountaion Lion.
Os invasores podem explorar a falha enviando uma mensagem criada com códigos maliciosos pela rede para causar a falha do servidor de diretório ou a execução remota de código, disse a Apple.
Problemas com o OpenSSL, Safari
A Apple corrigiu 13 problemas no OpenSSL, um dos quais permitiria que os invasores iniciassem o ataque CRIME, onde um invasor poderia descriptografar sessões protegidas por SSL. O ataque de compressão ao TLS 1.0 foi desenvolvido pelos pesquisadores de segurança Thai Duong e Juliano Rizzo.
O novo Safari, versão 6.0.5, corrigiu 23 vulnerabilidades distintas de execução remota de código e três falhas de script entre sites. Os problemas estavam todos relacionados ao mecanismo WebKit que alimenta o navegador.
"Vários problemas de corrupção de memória existiam no WebKit", afirmou a Apple em seu comunicado.
Esses problemas expõem os usuários de Mac a ataques de infecção por navegação, e os invasores podem executar código fora do navegador e diretamente no sistema, sem a necessidade de autorização do usuário. Os erros de script entre sites também permitem que os atacantes criem sites mal-intencionados que contêm elementos de páginas legítimas para induzir os usuários a pensar que esses sites falsificados são confiáveis.
Obter essa atualização
Os usuários que usam a Atualização de software da Apple obtêm a atualização correta automaticamente. Os usuários que decidirem fazer isso manualmente precisarão acessar a atualização do OS X 10.8.4 (que inclui o Safari 6.0.5) para o Mountaion Lion e a Atualização de segurança 2013-002 (que não inclui a atualização do Safari) para o Snow Leopard e Lion sistemas. Observe que o Snow Leopard não recebe a nova versão do Safari, pois ainda está no Safari 5.
