近日，蘋果公司發(fā)布四個(gè)安全更新，修補(bǔ)超過50個(gè)安全漏洞，涵蓋的MacOSX中的元件及的Windows版Safari瀏覽器。這是蘋果今年度首次安全更新，也是近來最大規(guī)模的安全更新。

蘋果所發(fā)布的四個(gè)安全更新分別為針對(duì)Mac OS X v10.4.11及Mac OSXv10.5.6操作系統(tǒng)部件的安全更新Security Update 2009-001；針對(duì)Mac OSX10.5的Java部件更新;鎖定的Mac OSX10.4的Java部件更新;以及Safari瀏覽器3.2.2Windows版的更新，總計(jì)修補(bǔ)逾50個(gè)安全漏洞。

Updata2009-001所修補(bǔ)的安全漏洞主要影響AFP服務(wù)器，蘋果影片處理工具PixletVideo、CarbonCore、CFNetwork、CertificateAssistant、ClamAV、CoreText、CUPS、DSTools、fetchmail、FolderManager、FSEvents、NetworkTime、perl、Printing、python、RemoteEvents、servermgrd、SMB、SquirrelMail、X11、XTerm，以及Safari中的RSS。

其中，Safari瀏覽器的RSS漏洞在Safari瀏覽器處理嵌入feed:URL的方式時(shí)存在多個(gè)輸入驗(yàn)證問題，因此當(dāng)使用者存取惡意的feed:URL時(shí)，可能導(dǎo)致執(zhí)行任意程式。

在蘋果公司發(fā)布安全更新后不久，Safari漏洞發(fā)現(xiàn)者之一的BrianMastenbrook在其博客中警告用戶，該Safari漏洞十分危險(xiǎn)，指出該漏洞是Safari瀏覽器中RSSfeed的設(shè)計(jì)失誤，將遠(yuǎn)端的內(nèi)容錯(cuò)認(rèn)為使用者計(jì)算機(jī)中的內(nèi)容，不論是蘋果還是Windows系統(tǒng)的Safari瀏覽器都受此漏洞的影響，并可能導(dǎo)致跨站攻擊(XSS)。

Mastenbrook表示，該漏洞很容易被發(fā)動(dòng)釣魚欺騙的攻擊者利用，攻擊者只需要架設(shè)一個(gè)網(wǎng)絡(luò)服務(wù)器，當(dāng)用戶點(diǎn)擊一個(gè)并不存在的頁(yè)面時(shí)，自動(dòng)回復(fù)一個(gè)含有惡意程序的頁(yè)面給用戶。他強(qiáng)調(diào)，早在去年7月他就提供了相關(guān)漏洞信息以及可存取使用者電腦中檔案的POC文檔給蘋果公司，但蘋果公司遲遲未予修補(bǔ)，使得他不得不在今年1月張貼該漏洞的警告，并建議使用者暫時(shí)關(guān)閉Safari瀏覽器中的RSS功能。

此外，蘋果針對(duì)Mac OS X的10.5及10.5的MacOSX等操作系統(tǒng)的Java部件的更新皆為修補(bǔ)Java網(wǎng)絡(luò)啟動(dòng)與Java插件中的多個(gè)安全漏洞，其中最嚴(yán)重的漏洞可能會(huì)讓不受信任的Java的應(yīng)用提升使用權(quán)限。