苹果打补丁 DNS漏洞问题依旧

计世网商用软件频道消息，据外电报道，在今年7月下旬DNS漏洞细节被披露后，安全研究人员纷纷警告苹果尚未补丁相关漏洞，使苹果用户曝露于安全风险中。不过，在苹果于上周祭出更新程序补丁Mac OS X中的17个漏洞后，安全人员再度抨击苹果的补丁程序并不完善。

IOAcitve安全研究人员Dan Kaminsky是在今年初发现严重的DNS漏洞，该漏洞潜藏于DNS的设计中，因此殃及大多数的DNS产品，并可能导致黑客进行缓冲区下毒（cache poisoning）攻击，让使用者在无预警的情况下联接到钓鱼网站。各大IT厂商在7月初联手进行了同步更新，包括思科及微软，但当时苹果并未在列。

苹果一直到上周才放出补丁程序，不过，nCircle Network Security研究总监Andrew Storms表示，目前对抗DNS缓冲区下毒的手法是强制执行随机的ID询问及源端口（source port），让攻击行动难以进行，不过，他在自己的Tiger（OS X 10.4）操作系统安装了苹果的更新程序后发现，系统仍然未随机选择源端口。Storms认为，苹果并未妥善修补该DNS漏洞。

另一名SANS研究人员Swa Frantzen则在自己更新后的Leopard（OS X 10.5）操作系统上发现了同样的问题，并表示苹果可能在服务器上修补了一些更重要的部份，而DNS客户端却仍需要其它的暂时性补救措施。

随着漏洞细节的泄漏，针对该DNS漏洞的攻击程序不断涌现，并有研究人员宣称已发现实际的攻击行动，目前安全行业仍不断呼吁企业及使用者应该要马上补丁相关漏洞。