Apples Security Update 2009-003, som distribuerades med Mac OS X 10.5.8 för Leopard-användare och separat för Tiger-användare, har täppt till säkerhetshål i bland annat Colorsync, Dock och Mobileme, tillverkarens tjänst för säkerhetskopiering och lagring.
Totalt uppges 18 sårbarheter ha blivit åtgärdade i uppdateringen, varav sex berört olika filformat för bildfiler. Dessa grafikrelaterade brister har även fångat uppmärksamheten hos Andrew Storms, ansvarig för säkerhetsutveckling på Ncircle Network Security.
Storms varnar för att den bugg som kopplats till formatet png (portable network graphics) lätt kan utnyttjas av angripare. ”Png-buggen är den mest intressanta. Det är ett format som är vanligt på sajter idag”, varnar Storm och menar att en gripare i princip bara behöver få sina offer att besöka en preparerad sajt med manipulerade png-filer.
Apple har även patchat fyra brister i operativsystemets Imageio-komponent, som hanterar Openexr-bilder. Formatet utvecklades 1999 av Lucasfilms Industrial Light and Magic-studio och släpptes som öppen källkod fyra år senare. De sjätte bildsårbarhetern, också i Imageio, kan utnyttjas genom manipulation av Canon raw fotofiler.
Tio av de arton sårbarheterna berör ”körning av godtycklig kod”, vilket innebär att bristerna räknas som kritiska och kan potentiellt utnyttjas för att ta över systemet. Till skillnad från till exempel Microsoft, använder inte Apple sig av något rankingsystem för sina sårbarheter.
Säkerhetsuppdateringen är ändå liten om man räknar till antalet sårbarheter som åtgärdats. Februari månads uppdatering innehöll till exempel 55 säkerhetsfixar, medan den som släpptes i maj innehöll 67 fixar.
IDG News
