Phát hành các bản vá POODLE và Shellshock cho OS X Yosemite

Việc phát hành OS X Yosemite (10.10), hệ điều hành mới nhất của Apple, cũng trùng hợp với việc phát hành một tập hợp các bản cập nhật để xử lý các vấn đề an ninh nghiêm trọng cho các sản phẩm, bao gồm cả lỗ hổng Bash gọi là Shellshock và vấn đề SSL đã được công bố gần đây.

Trong Yosemite, công ty đã giải quyết 45 lỗ hổng bảo mật – tất cả đều được xác nhận và đánh mã CVE. Các lỗ hổng ảnh hưởng đến các thành phần như WiFi, Bluetooth và ứng dụng Sandbox cũng như các sản phẩm như Safari, QuickTime, Mail, Find My Mac và Dock.

Shellshock và POODLE là những lỗ hổng an ninh mới nhất nhận được sự chú ý từ các phương tiện truyền thông và Apple công bố các bản sửa lỗi ngăn chặn tội phạm mạng lợi dụng những lỗ hổng an ninh này để chống lại người dùng Mac.

Các lỗ hổng trong Bash đã được loại bỏ thông qua một bản cập nhật trước đó dành cho người dùng OS X 10.7 (Lion), OS X 10.8 (Mountain Lion) và OS X 10.9 (Mavericks) và nó là một biến thể của một bản gốc được phát triển cho  các phiên bản Linux khác nhau.

Trong trường hợp của POODLE, cuộc tấn công yêu cầu một quá trình hạ cấp giao thức bảo mật SSL 3.0, nhóm nghiên cứu bảo mật của Apple quyết định vô hiệu hóa bộ mã hoá CBC có lỗ hổng trong giao thức kết nối TLS khi kết nối thất bại.

Một giải pháp khác đã được thông qua bởi các nhà phát triển khác bằng cách thực hiện cơ chế  TLS_FALLBACK_SCSV trong các sản phẩm của họ.

Bản cập nhật bảo mật cho Yosemite cũng bao gồm một bản vá có thể ngăn chặn tấn công bruteforcing vào mã PIN của Find My Mac.

Softpedia