ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Рич Могалл, известный эксперт в области безопасности, основатель фирмы Securosis и владелец семи компьютеров Mac, в своей недавней статье на сайте Tidbits подверг компанию Apple критике за задержку патча для Java, неспособность защитить своих пользователей от вредоносных программ и других сетевых угроз, а также за отсутствие официальной политики безопасности, после чего предложил ее руководителям улучшить данную ситуацию, внедрив циклы безопасной разработки приложений при создании все возрастающего числа продуктов.

Это предложение стало одной из пяти инициатив, которые он выдвинул для Apple, чтобы та могла обеспечить безопасность собственных клиентов.

Свой список он опубликовал после того, как Apple в понедельник выпустила Safari 4.0 – версию браузера, закрывающую в нем более 50 дыр, среди которых значатся уязвимость к клик-джекингу, DoS-атакам и баги, позволяющие производить удаленное выполнение кода.

Кроме того, Могалл предложил Apple назначить и наделить полномочиями руководителя, который занимался бы безопасностью продукции Apple. Он мог бы выступать как в качестве публичного представителя компании, так и в роли внутреннего руководителя, ответственного за инциденты, связанные с безопасностью и обеспечение безопасности новых программ.

Эксперт также призвал Apple доделать работу по внедрению методов защиты от эксплоитов в OS X. Несмотря на то, что такие функции, как виртуализация, рандомизация библиотек, флаги блокировки исполнения и защита стека уже частично внедрены, по мнению Могалла они либо не до конца завершены, либо имеют такие баги, которые сводят к нулю их роль в обеспечении безопасности.

Оставшиеся два предложения заключаются в следующем:

* Организовать группу лиц, ответственных за взаимодействие между сотрудниками компании и экспертами в области безопасности, которые сообщают о наличии уязвимостей в продукции Apple.
* Отслеживать уязвимости в сторонних приложениях.

9/06/2009
http://www.xakep.ru/post/48476/default.asp