苹果公司在上个星期三发布了一次安全更新,修复了其操作系统软件中的20个安全漏洞。在发布那些补丁之前,由于网络上突然出现了两个针对其操作系统中的漏洞而编写的蠕虫程序,并且Secunia安全监测公司声称在Mac OS X操作系统中发现了一个“极其严重的”漏洞,因此,苹果公司曾对Mac OS X操作系统的安全性进行了非常细致的检查。
苹果公司在安全更新中给Safari网络浏览器、Apple Mail邮件客户端和即时通讯工具iChat中增加了一个名为“下载核准(download validation)”的功能。当用户点击某个超级链接的时候,这个功能可以提醒用户那个下载可能是恶意的。 在此之前,如果用户点击某个超级链接,那么系统就会自动开始下载,攻击者就会乘虚而入,远程执行恶意代码从而控制住用户的系统。
但是苹果公司没能解决该问题中的关键部分,业内安全专家们认为修复应该在一个较低的操作系统水平上进行。现在,攻击者仍可以通过建立一个看似安全文件的恶意文件来发起攻击,比如他们可以将恶意的应用程序伪装成图片文件或者电影文件。
专业安全公司Cybertrust公司的分析师Kevin Long使用Mac操作系统已经有11年了,他说:“苹果公司只是在下载和执行操作中设置了一个检查点,他们并没有修复漏洞本身。如果计算机用户被攻击者诱骗了而打开了一个类似图片的文件,那么他们实际上是打开了一个恶意脚本。”
在安装完苹果公司发布的补丁文件之后,当用户下载一个可能为恶意文件的对象时,Safari网络浏览器、Mail邮件客户端和iChat即时通讯工具在大多数情况下都会发出警告。但是,其他的应用程序也可能会下载文件,但是在遇到恶意文件时,它们就不会发出安全警告了,比如火狐网络浏览器、雷鸟邮件客户端、雅虎即时通讯工具Yahoo Messenger和LimeWire文件共享工具等。 苹果公司并没有为那些应用程序提供保护。
而且,如果用户关闭了浏览器中的“下载完之后打开安全文件”功能选项的话,那么Safari网络浏览器就不会提示警告信息。自从软件漏洞的细节公开之后,用户们就更容易受到攻击了,因此安全专家们强烈建议用户们关闭这个选项。
苹果公司承认,尽管它已经发布了漏洞补丁,但是恶意文件仍然可能会伪装成合法文件而避开系统的检查。