苹果发布密码漏洞修复补丁- OS X El Capitan

作者：Zeljka Zorz

原文发布于2015年10月1日

译文：

昨日苹果向终端用户发布了OS X 10.11 EI Captain。苹果公司在这版本中更关注性能与安全而不是新功能。

 

在改善安全性方面，采取了一种默认开启（但可禁用）的新安全功能，叫系统完整性保护（SIP）。

 

Alert Logic的首席安全专员Stephen Coty解释说：“SIP通过为系统上的所有进程设置限制，来防止系统流程文件和文件夹被修改或篡改，即使是根用户（拥有管理员权限）的操作。文件、文件夹和进程也会受到文件扩展属性的保护。保护环境包括/usr /system /sbin 和 /bin这些大多数应用程序和用户文件存放的得房。这将防止代码注入系统造成在无特定权限情况下写入标记文件和文件夹来停止所有进程。”

 

他还解释说：“这是非常明智的方法来限制Macintosh Operating系统的暴露点，以免被攻击者利用。装入的恶意代码用来搭建通讯并且建立工具集，用来阻止试图安装额外的工具，比如蠕虫和远程控制木马。”

 

“这也将限制大多数用户能对自己系统做的事。但也有一些技术方面的用户需要访问这些系统领域并且需要那样的权限。对于这些高级用户，我们提供一切变通方法让用户重获他们系统的控制权。这并不容易，但却是有可能的。对于大多数也有可能落入网络钓鱼的普通用户，在一个感染了的大环境下保护你的环境安全并限制恶意用户的恶意行为，是一件非常棒的事。这将迫使恶意用户返回计划并重制入侵点。”

 

有关它工作原理的技术概述的相关细节，请查看Ars
4000
Technica关于EI Capitan的详细回顾（SIP部分从第八页开始）。

 

系统完整性保护（SIP）是苹果公司在他们操作系统安全性方面的一项伟大的改动。系统完整性默认启用。

 

EI Capitan同时也解决了超过100项的安全漏洞，包括如下：

 

·PHP中的19个漏洞（一个远程代码执行漏洞

·苹果在线商城设备缺陷 - - 允许恶意应用程序获得用户的秘钥链项

·一个CFNetwork HTTPProtocol缺陷，该缺陷允许恶意网站在Safari隐私浏览模式中跟踪用户

·EFI中导致恶意AppleEthernet Thunderbolt适配器影响固件闪烁的缺陷

·大量的内核漏洞等

 

GFI Software总经理Sergio Galindo指出： “欢迎苹果桌面操作系统更新今天发布的Mac OS X ElCapitan。作为一款免费更新，我们希望迅速被接受。然而，我们发现很多用户更新时忽略了对他们非苹果的软件和服务的影响，并且也没考虑到用户运行的就版本的兼容性。”

 

“用户和公司需要注意MacOS的新版本会带来应用程序兼容性的问题。无法担保现有应用程序能够继续使用，而且不可能确保每个人都阅读了正确更新EI Capitan的问题。自动补丁管理将很有助于配对补丁并更新，所以当公司做迁移时，将尽可能是个平稳的过程。”

 

“部署之前的测试至关重要，之后采用才安全。需要清晰地告知用户为什么他们不应该自启动更新，此外，为什么他们不应该升级到新的iCloud服务。iCloud服务的最新版本需要在用户所有的设备上先安装上EI Captain和IOS 9。这将在旧设备的使用环境和其他没有同时升级的地方导致问题。”他警告道。

 

OS X EI Captain 10.11包括了Safari 9的安全内容，但目前对于那些不升级至此的主流浏览器而言，这将有单独的更新，该更新修复了许多在WebKit中的关键漏洞。

 

针对IOS的安全更新也已经发布，并且修复了一个缺陷：密码漏洞，该漏洞允许拥有IOS设备物理访问的人能够在锁屏时访问照片和通讯录。

 

原文链接: http://www.net-security.org/secworld.php?id=18921