据BugTraq邮件列表透露,一位名叫Russell Harding的黑客在网上贴出一个详细的黑客教学文章,介绍了如何欺骗苹果公司的软件更新网站允许黑客在任何运行OS X操作系统的Mac计算机上安装一个后门。
这个安全漏洞是利用苹果计算机公司在OS X操作系统中的软件更新机制,这种机制每个星期都要检查一次是否有更新。据发现这个漏洞的黑客Harding说,从网站下载最新更新的功能没有身份识别,然后就将更新的软件安装在系统上。黑客利用这种机制,把恶意代码附加在苹果公司软件更新网站下载的程序中,就可以入侵使用OS X操作系统的Mac计算机了。目前,对这个问题还没有可用的补丁。
苹果公司的代表说:“苹果公司对所有这些安全通知非常重视,正在对这个报告进行积极的调查。”
Harding强调指出,利用这种安全漏洞很简单。使用众所周知的技术就可以搞定。这些技术包括域名服务欺骗和域名服务缓存定位。Harding还在其网站上提供了两个进行这种攻击的工具软件。
软件自动更新,特别是操作系统软件的自动更新,是一种日益增长的趋势。几家Linux软件公司为其批发商提供了这种功能。微软公司最近也推出了称作微软软件更新服务的类似的服务。
