本周早些时候,有报道称Java 7运行环境中包含了重大安全漏油,包括OS
X在内的所有系统都将受到影响。自OS X
Lion开始,苹果已经不在系统中预装Java软件了,所以该漏洞只对那些手动安装Java软件的用户产生威胁。几个月前的Flashback恶意软件的
阴影还没有过去,似乎新的恶意软件就已经到来了。

甲骨文Java软件中发现了最新的0day漏洞,这一漏洞几乎出现在所有受支持的Java版本中,通过此漏洞,黑客可在超过10亿台装有Java的
Mac和PC机上安装恶意软件与病毒。
安全专家Adam
Gowdiak昨天宣布,这一安全漏洞存在于Java 5、Java 6和Java
7中。计算机世界还特别指出,使用Mac OS
X最新版本系统的用户同样存在这一安全问题,包括Snow Leopard
10.6系统。10亿这一数据是甲骨文根据已安装的计算机数目进行统计得出的。

CNN财经网站本周刊文称,近期,苹果产品被曝出了一系列严重的信息安全漏洞。业内人士认为,在信息安全方面,当前的苹果就像是10年前的微软。

虽然几个月前就有安全专家警告甲骨文Oracle公司,但甲骨文似乎并没有在意。现在公司才迅速发布了Java
7第七次升级补丁,新补丁修正了本周早些时候出现的漏洞,此外公司还发布了Java
6第35次升级补丁,也解决了相同的漏洞。用户可以点击这里下载最新的Java运行环境。

关于这一漏洞的技术细节目前还没有完全公开,Gowdiak强调他已经掌握了所有情况,包括导致问题的源代码。据说甲骨文正着手为修复此问题发
布补丁,但没有透露发布的具体时间,也不确定在10月16日Java的常规升级之前补丁能否完成。上个月黑客利用类似的0day漏洞攻击PC,当时甲骨文
临时发布了补丁更新才得以确保用户安全。

“苹果电脑更安全,没有漏洞。”这样的观念已不再是事实。

(文/cnbeta)    

我们已习惯于Windows
PC存在的各种漏洞。然而过去几年,Mac电脑、iPad和iPhone也正在暴露越来越多的问题。2015年到目前为止,苹果产品已曝光了5个重大漏洞。

本周有报道称,利用Mac电脑的一个漏洞,黑客可以将病毒植入系统深处,而用户无法发现。一周前,iPhone被曝光存在一个漏洞,只需一条短信就能让iPhone崩溃。这些问题很严重,但到目前为止尚未得到修复。

每个系统、应用和软件中都存在错误的代码,但苹果修复漏洞的策略已经过时。苹果以往曾宣称,该公司的产品比微软的更安全,但目前已并非如此。目前的苹果与10年前的微软非常相像。

问题

计算机工程师、黑客,以及熟悉苹果策略的人士认为,关于信息安全,苹果存在5方面的错误:

1.苹果没有定期进行安全更新,更新频率也不够快

去年,苹果花了100天时间才修复由谷歌工程师发现的一个问题。2012年,针对一个名为“Flashback”的恶意软件,甲骨文迅速发布了Java的一个补丁。然而,苹果花了整整两个月时间才发布补丁。当时业内人士估计,有65万台Mac电脑被这一恶意软件感染。

信息安全研究公司Rapid7研究经理托德·贝尔德斯利表示:“与微软不同,苹果似乎并没有定期发布补丁的计划。他们也没有像谷歌对Chrome所做的一样,持续发布安全升级。某些时候,补丁发布速度很慢。而在某些情况下,补丁的开发确实比较困难。”

迅速发布补丁有时会起到反效果。从这种意义上来说,苹果对待漏洞就像是对待产品。苹果往往不会率先进入某一行业,而是计划做到最好。不过,长时间等待有可能导致严重的损失,使苹果产品的用户容易受到黑客攻击,进而造成个人信息被盗。

2.保密性

苹果通常不公开讨论安全漏洞。例如,苹果并未承认Mac电脑最新曝光的漏洞。尽管已确认了iPhone的短信漏洞,并提供了如何解决漏洞的建议,但苹果并未公布漏洞的根本原因。

贝尔德斯利表示:“苹果以非常神秘的方式去工作。关于确认存在的安全漏洞,苹果以保密而着称。”

更好的透明度将引起用户警觉,并促使苹果开发者社区去研究如何修复漏洞。从这一角度来看,保密是有害的。

3.只对最新软件进行升级

如果用户仍在使用老版本OS X系统,那么苹果不会为你提供补丁。

例如,苹果今年4月修复了一个严重漏洞,但仅针对最新版本OS
X系统“约塞米蒂”。根据Net Market
Share的数据,这意味着,苹果抛弃了47%使用老版本OS X系统的用户。

苹果的立场是什么?用户可以免费升级至最新版系统。情况确实如此,但这样做并不公平。一些较老的笔记本已无法运行最新版OS
X系统。

4.不愿付费

对于查找漏洞的信息安全研究人员,苹果是唯一一家不愿支付报酬的主要科技公司。

此前有报道称,一些犯罪分子和间谍愿意以15万美元的高价获得iPhone的漏洞。但苹果在这方面却一毛不拔。

5.不承认错误

苹果不认错的态度令许多信息安全研究人员感到失望。例如,在去年iCloud“照片门”期间,苹果CEO蒂姆·库克表示,苹果将加强信息安全举措。不过他认为这是用户的问题,“而不是工程开发的问题”。

实际上,通过一些信息安全技术本可以避免iCloud明星裸照流出事件,例如要求用户启用两步验证机制。这是工程开发的问题。最终,苹果也向iCloud加入了这样的信息安全功能。

与苹果打交道并不容易。信息安全研究员谢诺·科瓦表示,即使是在最严重的情况下,例如当他向卡耐基梅隆大学计算机紧急响应团队报告一个严重软件漏洞时,苹果也没有像其他公司一样积极响应。

他认为:“苹果在漏洞修复方面存在问题。”

2012年,苹果平台的684名独立开发者发起了一项正式行动,要求苹果改善漏洞报告系统。不过他们表示,随后并没有发生什么改变。

苹果拒绝对这一报道置评。

微软的做法

许多知名黑客表示,与微软多年前类似,苹果的漏洞报告系统需要大幅调整。

15年前,Windows已经是用户最多的系统,但也遭到很多人的厌恶。当时的Windows系统漏洞很多。随后,微软改变了策略。

2003年,微软启动了“周二补丁日”计划。每个月,用户可以收到大量的安全更新。2005年,微软开始举办邀请参加的信息安全大会Blue
Hat,与信息安全研究者进行面对面接触。然而,苹果并未举办过这样的论坛。

微软在信息安全方面最成功的一大策略是“漏洞报告奖励机制”,这一项目从2013年开始。通过此举,微软不再对抗黑客军团,而是将他们变成微软的“保卫者”。

微软前首席信息安全策略师、漏洞报告奖励机制的执行者凯蒂·穆苏里斯表示:“在对信息安全策略进行有意义的调整之前,微软被大量漏洞所困扰。希望苹果也能快速解决这一问题。”

那么,为何苹果在突然之间就遭遇了压力?穆苏里斯认为,苹果是“自身成功的受害者”。苹果产品已经非常火爆。更多的用户意味着黑客会更关注苹果的代码,因此也就有更多漏洞被发现。

不过好消息在于,苹果正在倾听公众的意见,而调整即将到来。

消息人士表示,苹果已意识到这些问题,而该公司正试图改善与信息安全研究人员的沟通。目前主要的挑战在于,如何应对快速增长。苹果会接到大量可能的漏洞报告,而苹果的信息安全团队希望优先关注更严重的漏洞,并区分真正的漏洞和误报。