نشر باحث أمني Maksymilian Arciemowicz من موقع SecurityReason استغلال (PoC) لثغرة خطيرة مكتشفة في نظام MacOS X أصابت كل من الاصدار 1.6 و 1.5 مع احتمال أن تكون الاصدارات السابقة مصابة أيضاً. الثغرة من نوع Buffer Overflow وتم تقييمها على أنها مرتفعة الخطورة لوجود احتمال من تمكّن المهاجم من استغلالها عن بعد.
يعود سبب الثغرة لخطأ برمجي في الدالة strtod و gdtoa بمكتبة libc المستخدمة في نظام Unix الذي بني عليه MacOS X وهذا أدى لاصابة كل من أنظمة FreeBSD, OpenBSD, NetBSD وعدّة برامج أخرى بالثغرة أيضاً منها متصفح Google Chrome و Opera بالاضافة لمتصفّح Firefox وأغلب منتجات شركة Mozilla.
البداية كانت بتاريخ 25 يونيو 2009 حيث أعلن الباحث الأمني عن وجود الثغرة بدون توفر أي اثبات لامكانية استغلالها, هذا دفع مطوري نظام OpenBSD وباقي الشركات الأخرى الى اصدار تحديث لمنتجاتهم أما نظام FreeBSD فأصدر تحديث للثغرة بتاريخ 5 يناير 2010 لكن كما يبدو شركة Apple تجاهلت الأمر ولم تصدر أي تحديث لنظامها!
حتى الآن لا يوجد أي رد من شركة أبل وحسب علمنا لا يوجد تحديث متوفّر بالوقت الحالي.
لمزيد من المعلومات: CVE-2009-0689
للاطلاع على الاستغلال: MacOS X 10.5/10.6 libc/strtod buffer overflow
تاريخ أبل في التعامل مع الثغرات ومع الباحثين الامنيين حافل بالصلف والتجاهل والازدراء من قبل الشركة لهؤلاء الباحثين. كل الثغرات والهجمات التي تعرضت لها في سنة 2009 ولا زالت تصر على ان نظامها ليس بحاجة الى برامج مكافحة الفيروسات.
هل ستتعلم درساً من هذه الثغرة؟ لا اعتقد.
مشكور أخي عبد المهيمن على المتابعة
والله انا اتوقع نظام الMAC يبي يكون اقل خطورة وتعرض للفيروسات بسبب عدم استخادمه بكثرة من قبل المستخدمين العاديين
يا ترى متى تستفيق الابل و تنتبه الى خطورة تجاهلها المستمر للثغرات ؟ عندما تفقد كل عملائها ؟
جميل
هذا يعني أنه ربما Linux عرضة للخطر أيضا
إفرح يا ماك ميلر فستستطيع إختراق اللينكس بعد 3 سنوات من العناء
كلا لينوكس ليس معرض لهذه الثغرة وذلك لانه ليس مبني
على سورس اليونكس بل هو شبيه باليونكس
و على اي حال حتى لو تعرض لها فان الترقيع لن يتاخر في الصدور
مثلما هو حال الماك
أعلم هذا
لكن حسب ما أعتقد أنه توجد مكتبة libc في بعض التوزيعات صح ؟
طيب طيب
أتمنى أن لا تكون هذه المكتبة في السلاكوار
مكتبة libc في نظام لينوكس تختلف عن الموجودة في أنظمة Unix و BSD والأنظمة المبنية عليها مثل MacOS X لأنه تم اعادة كتابتها من الصفر لكن بطريقة متوافقة مع المكتبة الموجودة في أنظمة Unix.
شكرا على التوضيح
أه سؤال أخير
Haiku Os إبن BeOs إبن Unix
يعني …..
بارك الله فيك أخي على الخبر
لقد اصدرت ابل بالفعل تحديث لمعالجة هذه المشكلة بتاريخ ١٩ يناير 2010
http://support.apple.com/kb/HT1222
وان كانت ابل قد تاخرت قليلا فهاذا لا يعني انها لا تهتم بامن عملائها ولكن هذا لحرصها علي كفاءت معالجة المشكلة
وعموما شكرا علي الخبر
linux has little secure holes to hack
but not protect from stupid using from stupid users