Apple vá hàng loạt lỗ hổng cho Mac OS X

Apple vừa tung ra phiên bản nâng cấp mới cho hệ điều hành Mac OS X để khắc phục một loạt lỗ hổng dễ bị tin tặc lợi dụng tấn công.

Cụ thể các lỗ hổng này bao gồm:

1. Lỗ hổng trong BIND: Từ lỗ hổng này tin tặc sẽ thâm nhập vào cache của DNS trên máy chủ phân giải tên miền DNS.

2. Lỗi tràn bộ đệm của CarbonCore trong tên file sẽ gây tràn bộ đệm từ các tên file quá dài so với độ dài mà phần mềm quản lý file API của framework CarbonCore cho phép. Trường hợp khai thác thành công sẽ cho phép thực thi mã nhị phân.

3. Lỗi trong phần mềm xử lý đồ hoạ CoreGraphics khi nhận các thông số sẽ gây ra tình trạng ngắt bộ nhớ. Trường hợp khai thác thành công sẽ cho phép thực thi mã nhị phân.

4. Lỗi tràn tập hợp số nguyên trong phần mềm xử lý đồ hoạ CoreGraphics khi tạo file PDF chứa font Type 1. Lỗi này sẽ gây tràn bộ đệm heap thông qua một font có độ dài quá lớn.

5. Các lỗ hổng trong Quicklook khi tải tệp tin của Microsoft Office sẽ khiến bộ nhớ bị lỗi. Trường hợp khai thác thành công sẽ cho phép thực thi mã nhị phân.

6. Lỗ hổng trong Data Detectors khi xem các tin nhắn giả mạo.

7. Lỗ hổng trong công cụ Repair Permissions, cho phép thực thi lệnh nhị phân với quyền hệ thống.

8. Lỗi trong OpenLDAP khi phân tích các gói mã hoá ASN.1 BER có thể bị lợi dụng để tấn công từ chối dịch vụ (DoS).

9. Lỗi vượt quá giới hạn trong hàm OpenSSL "SSL_get_shared_ciphers()". Đây là lỗi trong xử lý dữ liệu ASN.1 bằng câu lệnh OpenSSL sẽ gây vòng lặp vô hạn và tiêu tốn rất nhiều bộ nhớ của hệ thống.

10. Một vài lỗ hổng trong ngôn ngữ PHP có thể bị khai thác để qua mặt các giới hạn bảo mật và dùng để tấn công DoS.

11. Hai lỗi trong tính năng rsync cho phép qua mặt các giới hạn bảo mật.

Giải pháp: Cần nâng cấp lên phiên bản Apply Security Update 2008-005, bao gồm:

Security Update 2008-005 Server (PPC):
http://www.apple.com/support/downloads/securityupdate2008005serverppc.html

Security Update 2008-005 Server (Intel):
http://www.apple.com/support/downloads/securityupdate2008005serverintel.html

Security Update 2008-005 (PPC):
http://www.apple.com/support/downloads/securityupdate2008005ppc.html

Security Update 2008-005 (Intel):
http://www.apple.com/support/downloads/securityupdate2008005intel.html

Security Update 2008-005 (Leopard):
http://www.apple.com/support/downloads/securityupdate2008005leopard.html