此前,蘋果公司針對Mac OS X 10.4 Tiger和10.5 Leopard的綜合安全補(bǔ)丁,發(fā)布了編號為2008-005的安全升級,共計修正了12項系統(tǒng)安全漏洞,其中一項是倍受關(guān)注的DNS服務(wù)器漏洞.
報道稱,一旦包含此漏洞的DNS服務(wù)器在遭到攻擊,會向客戶發(fā)出錯誤的域名解析,而且會將用戶引到惡意釣魚網(wǎng)站上.雖然這一漏洞來自DNS協(xié)議,并非只針對Mac OS X Server,但由于其影響的是互聯(lián)網(wǎng)的重要核心DNS服務(wù)器,如被利用將導(dǎo)致非常嚴(yán)重的影響.
但蘋果的2008-005升級遭到了多位安全專家質(zhì)疑,普遍認(rèn)為"蘋果的安全補(bǔ)丁并未徹底修復(fù)該漏洞".Ncircle網(wǎng)絡(luò)安全公司的安全運(yùn)營主管安德魯·斯塔斯(Andrew Storms)表示:"蘋果聲稱發(fā)布的補(bǔ)丁程序彌補(bǔ)DNS服務(wù)器上的漏洞,但安裝這些補(bǔ)丁后,發(fā)現(xiàn)Mac OSX 10.4.11版本系統(tǒng)仍舊處于危險中."
SANS研究院的另一位安全專家Swa Frantzen同時也發(fā)現(xiàn)了這一問題,他稱:"蘋果可能在剛剛推出的升級程序中發(fā)布了針對DNS攻擊的多處安全漏洞補(bǔ)丁,但仍存在缺陷,原因是部分版本的操作系統(tǒng)在安裝該補(bǔ)丁后DNS漏洞依然存在."
蘋果的這些DNS安全漏洞最初由安全研究員丹·凱明斯基(Dan Kaminsky)發(fā)現(xiàn),凱明斯基原計劃下個星期在洛杉磯舉行的"美國2008黑帽大會"上發(fā)布一消息,但未曾料到:在上周,另外兩名研究人員在發(fā)現(xiàn)這一安全隱患后,隨即向外進(jìn)行了公布,并引起多家廠商關(guān)注.