Mac操作系统处理下载文件的方式存在漏洞,从而让带有假文件扩展名的文件在系统上为各种肮脏的东西趁虚而入开了个大门。
Mac OS X操作系统里的一个严重漏洞可能导致攻击者在运行有苹果软件的计算机上安装恶意代码,有安全专家星期二警告说。
这个安全问题是过去一周里在Mac操作系统里发现的第三个错误。安全专家表示,它让Mac的用户面临Windows用户更加熟悉的风险:用苹果的Safari网络浏览器访问一个恶意Web网站可能会给用户的计算机安装盗取根权限的工具(rootkit)、后门或者其他恶意软件,而不会引起他们的注意。
“这真的是相当糟糕,”SANS Internet Storm Centre公司在它星期二发表的《处理日记(Handler’s Diary)》中这样写到。“攻击者能够在你的计算机上远程地运行脚本”,如果你访问了一个恶意的Web网站的话。
苹果正在为这个错误开发修补文件,该公司的一名代表告诉Builder澳大利亚的姊妹网站CNET News.com说。“我们正在制作修补程序,这样它(系统漏洞)就不会影响到用户了,”这名代表说,但是没有说明进行更新的日期。
关于这个新漏洞的消息是在最近发现的、针对Mac用户的木马和蠕虫病毒之后出现的。这个操作系统以前还没有受到这么大的安全威胁。
这个由Michael Lehn发现并首先在 Heise在线上报道的新问题是由于Mac OS X操作系统处理存档文件的方式造成的。攻击者可以把恶意代码嵌入到一个ZIP压缩文件里,并把它放到Web网站上。当Mac的用户用Safari浏览器访问该网站的时候,这个文件和嵌入的恶意代码就会被执行,安全专家如是说。
“从本质上讲,操作系统是在执行ZIP文件元数据里的命令,”赛门铁克(Symantec)公司的高级工程主任Alfred Huger说。“当你在网上碰到这个文件的时候Safari会自动打开它,因此这一问题变得更加糟糕。”
能带来问题的可能还不止存档文件,SANS在其网站的更新文档中表示。“攻击者并不需要发送ZIP文件;外壳脚本本身就能够被伪装成任何东西,”这份文档中提到。
根据SANS发表的报告,罪魁祸首似乎是Mac OS的Finder——操作系统用来查看和组织文件的组件。恶意文件可以被伪装成正常文件——例如,JPEG图像文件——但是它会在打开的时候被运行和执行,SANS说。
这之所以发生是因为操作系统会根据文件的扩展名为文件指定一个识别情形,但是根据文件的权限来决定由哪个应用程序来处理文件。如果这个文件有任何可执行的内容,操作系统就会用Terminal来执行——这是一个用在Mac OS X里的命令行提示符工具,SANS说。
安全专家说,目前还没有关于有人利用这一个错误进行攻击的报道。但是,说明安装漏洞的弹性概念(proof-of-concept)代码已经在网上公开,而且经过修改可以用来进行网络攻击。“利用它进行攻击所需要的技术水平并不高,所以很多人都可以做到,”Huger说。
Windows操作系统的世界里,这样的漏洞常常被利用,在受害的计算机上安装间谍软件或者广告发布软件。尽管这样的无赖软件在Mac计算机上可能很少,但是它的操作系统上还是有一些后门和根权限盗取软件。“我想你很可能会看到利用这种类型的漏洞来安装这些无赖软件的情形,”他说。
这个漏洞被安全检测公司Secunia在其安全建议报告里定义为“极度危险”。赛门铁克公司也将其划为“具有相当高的风险”。“如果你有一台Mac计算机,而且在使用Safari,那么你应该立即对此采取补救措施,”Huger说。
Mac OS X的用户可以通过取消Safari浏览器里“下载完成后打开安全的文件(Open safe files after downloading)”选项来免受侵害。此外,用户在浏览网络的时候应该保持警惕,苹果公司的代表说。“苹果公司总是建议Mac的用户只接受来自销售商和那些他们了解并信任的Web网站的文件。”
安全专家还表示,那些使用其他浏览器的Mac用户,比如Firefox和Camino不受这种基于Web的漏洞的影响。
责任编辑:张琎
