蘋果電腦7日釋出Mac OS X作業系統的更新版，以修補15處安全漏洞。

許多問題出自於該作業系統基礎的開放原始碼軟體，包括一項Kerberos驗證系統中的嚴重瑕疵 – 該軟體可作為電腦網路的守門員。修補程式適用於Mac OS X 10.3.5、Mac OS X 10.3.4，和代號”Jaguar”的Mac OS X 10.2。蘋果發出的公告表示：「所有安全提升…也適用於Jaguar，修補可能發生在Jaguar系統的問題。」

此次修補的安全漏洞可讓攻擊者癱瘓或凍結Apache 2網頁伺服器、利用蘋果的Safari網路瀏覽器跑軟體，或暴露該網路使用的密碼。安全資訊公司Secunia將此列為次高等級的「高度危急」威脅。

蘋果曾表示，開放原始碼軟體是該公司作業系統的安全防護來源。雖然開放原始碼計畫大都在最快的時間釋出補救程式，蘋果和其他公司卻傾向不定時提供大量補救程式。

微軟已經採取每月定時提供補救程式的措施，資料庫軟體商甲骨文公司本月也開始跟進。

蘋果的公告和更新版的細節均公佈在該公司的網站。（陳智文）

應用廣泛的網路驗證系統Kerberos出現嚴重漏洞，使用Unix、Linux的電腦，和蘋果的Mac OS X面臨安全威脅。

發現這些漏洞的麻省理工學院Kerberos小組指出，線上攻擊者可藉此侵入使用Kerberos的電腦，補救方案應儘速執行。該小組的首席工程師Sam Hartman說：「我不認為這將導致病毒的出現，大多數的網站都會進行補救，因為補救是很容易的。反之，如果你已經受到損害，就必須花很大的功夫修復。」

Kerberos是許多網路的安全防護基礎，該軟體最初扮演守門員的角色，驗證進入網路伺服器的使用者身份，這也使得相關漏洞的潛在危害特別嚴重。

Hartman說，這些缺陷是所謂的重複釋放（double-free）漏洞，起因於部分程式企圖釋放相同的記憶體空間兩次。這類錯誤不像更普遍的緩衝區溢位較容易被利用，讓系統管理員有一點喘息的空間。他表示：「我們沒有理由相信某人已經據此寫出惡意的程式，此外，（這類漏洞）未曾引發大規模的攻擊。」

Kerberos是許多網路安全裝置和軟體的基礎構造之一，微軟公司便使用這項機制控制其Active Directory的安全驗證。不過Hartman表示，微軟使用自製的Kerberos版本，並未受到這些缺陷的影響。但昇陽（Sun Microsystems）的Solaris、Red Hat和Mandrake的Linux，及所有使用Kerberos的OS X都無法倖免。有些公司，如Red Hat已經公布補救措施，但還有部分公司尚未作到。

防毒公司賽門鐵克（Symantec）的資深安全經理Alfred Huger說，即使利用這些缺陷的病毒尚未出現，系統管理員也必須儘速補救相關問題。他指出：「我們發現很多顧客的系統都有這個問題，這是非常普遍的現象。」

忙碌的企業IT經理通常不會優先處理尚未被駭客利用的漏洞，但Huger強調，這種思維將導致麻煩上門。他說：「或許不會有任何病毒利用這個缺陷，但問題可能因此沒有獲得補救，這是相當危險的情況，尤其事關系統的安全驗證。」

美國政府的電腦危機處理小組與麻省理工學院共同發出這項安全公告。此次發佈較一年順利，當時另一個Kerberos缺陷在正式公告前便由某個自稱可進入官方網路的不明人士洩漏。系統管理員應前往其作業系統商的網站取得最新安全漏洞的資訊。（陳智文）