苹果打补丁 DNS漏洞问题依旧
来源:岁月联盟
时间:2008-08-06
计世网商用软件频道消息,据外电报道,在今年7月下旬DNS漏洞细节被披露后,安全研究人员纷纷警告苹果尚未补丁相关漏洞,使苹果用户曝露于安全风险中。不过,在苹果于上周祭出更新程序补丁Mac OS X中的17个漏洞后,安全人员再度抨击苹果的补丁程序并不完善。
IOAcitve安全研究人员Dan Kaminsky是在今年初发现严重的DNS漏洞,该漏洞潜藏于DNS的设计中,因此殃及大多数的DNS产品,并可能导致黑客进行缓冲区下毒(cache poisoning)攻击,让使用者在无预警的情况下联接到钓鱼网站。各大IT厂商在7月初联手进行了同步更新,包括思科及微软,但当时苹果并未在列。
苹果一直到上周才放出补丁程序,不过,nCircle Network Security研究总监Andrew Storms表示,目前对抗DNS缓冲区下毒的手法是强制执行随机的ID询问及源端口(source port),让攻击行动难以进行,不过,他在自己的Tiger(OS X 10.4)操作系统安装了苹果的更新程序后发现,系统仍然未随机选择源端口。Storms认为,苹果并未妥善修补该DNS漏洞。
另一名SANS研究人员Swa Frantzen则在自己更新后的Leopard(OS X 10.5)操作系统上发现了同样的问题,并表示苹果可能在服务器上修补了一些更重要的部份,而DNS客户端却仍需要其它的暂时性补救措施。
随着漏洞细节的泄漏,针对该DNS漏洞的攻击程序不断涌现,并有研究人员宣称已发现实际的攻击行动,目前安全行业仍不断呼吁企业及使用者应该要马上补丁相关漏洞。
