据海外媒体报道,日前有安全公司指出,在苹果公司最近推出的DNS服务器漏洞升级程序中仍有缺陷,没有使这一安全隐患得到完全解决。
此前,苹果公司针对Mac OS X 10.4 Tiger和10.5 Leopard的综合安全补丁,发布了编号为2008-005的安全升级,共计修正了12项系统安全漏洞,其中一项是倍受关注的DNS服务器漏洞。
报道称,一旦包含此漏洞的DNS服务器在遭到攻击,会向客户发出错误的域名解析,而且会将用户引到恶意钓鱼网站上。虽然这一漏洞来自DNS协议,并非只针对Mac OS X Server,但由于其影响的是互联网的重要核心DNS服务器,如被利用将导致非常严重的影响。
但苹果的2008-005升级遭到了多位安全专家质疑,普遍认为“苹果的安全补丁并未彻底修复该漏洞”。Ncircle网络安全公司的安全运营主管安德鲁·斯塔斯(Andrew Storms)表示:“苹果声称发布的补丁程序弥补DNS服务器上的漏洞,但安装这些补丁后,发现Mac OSX 10.4.11版本系统仍旧处于危险中。”
SANS研究院的另一位安全专家Swa Frantzen同时也发现了这一问题,他称:“苹果可能在刚刚推出的升级程序中发布了针对DNS攻击的多处安全漏洞补丁,但仍存在缺陷,原因是部分版本的操作系统在安装该补丁后DNS漏洞依然存在。”
苹果的这些DNS安全漏洞最初由安全研究员丹·凯明斯基(Dan Kaminsky)发现,凯明斯基原计划下个星期在洛杉矶举行的“美国2008黑帽大会”上发布一消息,但未曾料到:在上周,另外两名研究人员在发现这一安全隐患后,随即向外进行了公布,并引起多家厂商关注。