Quản trị mạng - Vào hôm qua Apple đã phát hành bản cập nhật bảo mật thứ hai chỉ trong vòng 3 ngày để vá 7 lỗ hổng trong ứng dụng trình duyệt Safari, bao gồm một lỗ hổng dành cho hệ điều hành Windows mà công ty này đã vá trong phiên bản dành cho Mac.
>> Apple “vượt mặt” Microsoft với 58 lỗ hổng
Tuy nhiên, không giống như bản cập nhật bảo mật cho hệ điều hành Mac OS X được phát hành hôm thứ 3 vừa qua đó là không phát hành bản vá cho hệ điều hành Mac OS X 10.4 – phiên bản trước Tiger, bản cập nhật được phát hành ngày hôm qua chỉ dành cho những người dùng sử dụng Safari trên hệ điều hành được tung ra vào năm 2005 này. Thông thường Apple ngừng cung cấp các bản cập nhật bảo mật cho hệ điều hành “cổ” nhất vẫn được hỗ trợ một vài tháng sau khi phiên bản mới được phát hành, tuy nhiên, dường như Apple sẽ tiếp tục hỗ trợ cho Safari trên Tiger.
Trong số 7 lỗ hổng được vá bởi bản cập nhật Safari 4.0.4, có đến 6 lỗ hổng nằm trong phiên bản ít được sử dụng dành cho hệ điều hành Windows, 6 lỗ hổng tác động tới Tiger, và 3 lỗ hổng tác động tới Mac OS X 10.5 (Leopard) và Mac OS X 10.6 (Snow Leopard).
Hai trong số 7 lỗ hổng này được Apple cho biết là “có khả năng chạy mã bất kì”, có nghĩa là những lỗ hổng này rất nghiêm trọng và tin tặc có thể khai thác lỗ hổng này để chiếm quyền điều khiển máy tính. Cả hai lỗ hổng nguy hiểm này chỉ xuất hiện trong phiên bản Safari dành cho Windows.
Trong 5 lỗ hổng còn lại gồm một số lỗ có thể đánh sập Safari, cho phép tin tặc thu thập thông tin từ hệ thống mục tiêu và phát động tấn công bằng mã lệnh trên nhiều trang thường được những kẻ đánh cắp thông tin cá nhân sử dụng.
Ba trong số 7 lỗ hổng này nằm trong công cụ phản hồi WebKit, nền tảng mã nguồn mở của Safari.
Apple cũng đã vá một số lỗ hổng trong Safari cho hệ điều hành Windows, Tiger và một số phiên bản khác của hệ điều hành Mac từ ngày 10 tháng 9 vừa qua, tại thời điểm đó chỉ có một lỗ hổng được vá Leopard trong bản cập nhật bảo mật 2009-005. Trong khi đó một lỗ hổng khác được vá vào hôm thứ ba vừa qua trong bản cập nhật 2009-006 cho Leopard và Snow Leopard.
Tính tới trước ngày hôm qua, lần gần đây nhất Apple cập nhật bảo mật cho Safari là vào giữa tháng 8 khi Apple vá 6 lỗ hổng bảo mật, trong đó có 4 lỗ rất nguy hiểm.
Theo Cenzic, một công ty cung cấp giải pháp bảo mật ứng dụng Web có trụ sở tại California, Safari chiếm tới 35% trong tổng số lỗ hổng được phát hiện trong các ứng dụng trình duyệt trong giai đoạn nửa đầu năm nay, đứng thứ hai sau Firefox. Tuy nhiên, Safari lại có một thị phần khá khiêm tốn, theo dữ liệu do Net Applications, một hãng nghiên cứu Internet, cung cấp thì Safari chỉ chiếm tống số 4.4% thị phần, với phiên bản dành cho Windows chỉ có được 0.3%, ít hơn 1/10 thị phần mà ứng dụng Chrome, một ứng dụng trình duyệt chỉ dành cho Windows, đang nắm giữ.
Người dùng có thể tải phiên bản Safari 4.0.4 dành cho hệ điều hành Windows và Mac từ trang Web của Apple. Những người dùng đang sử dụng ứng dụng trình duyệt này có thể cập nhật lên phiên bản mới bằng cách chạy dịch vụ Software Update trên Mac, hay Apple Software Update trên Windows.
>> Apple “vượt mặt” Microsoft với 58 lỗ hổng
Tuy nhiên, không giống như bản cập nhật bảo mật cho hệ điều hành Mac OS X được phát hành hôm thứ 3 vừa qua đó là không phát hành bản vá cho hệ điều hành Mac OS X 10.4 – phiên bản trước Tiger, bản cập nhật được phát hành ngày hôm qua chỉ dành cho những người dùng sử dụng Safari trên hệ điều hành được tung ra vào năm 2005 này. Thông thường Apple ngừng cung cấp các bản cập nhật bảo mật cho hệ điều hành “cổ” nhất vẫn được hỗ trợ một vài tháng sau khi phiên bản mới được phát hành, tuy nhiên, dường như Apple sẽ tiếp tục hỗ trợ cho Safari trên Tiger.
Trong số 7 lỗ hổng được vá bởi bản cập nhật Safari 4.0.4, có đến 6 lỗ hổng nằm trong phiên bản ít được sử dụng dành cho hệ điều hành Windows, 6 lỗ hổng tác động tới Tiger, và 3 lỗ hổng tác động tới Mac OS X 10.5 (Leopard) và Mac OS X 10.6 (Snow Leopard).
Hai trong số 7 lỗ hổng này được Apple cho biết là “có khả năng chạy mã bất kì”, có nghĩa là những lỗ hổng này rất nghiêm trọng và tin tặc có thể khai thác lỗ hổng này để chiếm quyền điều khiển máy tính. Cả hai lỗ hổng nguy hiểm này chỉ xuất hiện trong phiên bản Safari dành cho Windows.
Trong 5 lỗ hổng còn lại gồm một số lỗ có thể đánh sập Safari, cho phép tin tặc thu thập thông tin từ hệ thống mục tiêu và phát động tấn công bằng mã lệnh trên nhiều trang thường được những kẻ đánh cắp thông tin cá nhân sử dụng.
Ba trong số 7 lỗ hổng này nằm trong công cụ phản hồi WebKit, nền tảng mã nguồn mở của Safari.
Apple cũng đã vá một số lỗ hổng trong Safari cho hệ điều hành Windows, Tiger và một số phiên bản khác của hệ điều hành Mac từ ngày 10 tháng 9 vừa qua, tại thời điểm đó chỉ có một lỗ hổng được vá Leopard trong bản cập nhật bảo mật 2009-005. Trong khi đó một lỗ hổng khác được vá vào hôm thứ ba vừa qua trong bản cập nhật 2009-006 cho Leopard và Snow Leopard.
Tính tới trước ngày hôm qua, lần gần đây nhất Apple cập nhật bảo mật cho Safari là vào giữa tháng 8 khi Apple vá 6 lỗ hổng bảo mật, trong đó có 4 lỗ rất nguy hiểm.
Theo Cenzic, một công ty cung cấp giải pháp bảo mật ứng dụng Web có trụ sở tại California, Safari chiếm tới 35% trong tổng số lỗ hổng được phát hiện trong các ứng dụng trình duyệt trong giai đoạn nửa đầu năm nay, đứng thứ hai sau Firefox. Tuy nhiên, Safari lại có một thị phần khá khiêm tốn, theo dữ liệu do Net Applications, một hãng nghiên cứu Internet, cung cấp thì Safari chỉ chiếm tống số 4.4% thị phần, với phiên bản dành cho Windows chỉ có được 0.3%, ít hơn 1/10 thị phần mà ứng dụng Chrome, một ứng dụng trình duyệt chỉ dành cho Windows, đang nắm giữ.
Người dùng có thể tải phiên bản Safari 4.0.4 dành cho hệ điều hành Windows và Mac từ trang Web của Apple. Những người dùng đang sử dụng ứng dụng trình duyệt này có thể cập nhật lên phiên bản mới bằng cách chạy dịch vụ Software Update trên Mac, hay Apple Software Update trên Windows.