Сегодня Apple выпустила новое обновление безопасности, предназначенное для устранения «критической проблемы безопасности» в службе протокола сетевого времени на OS X. Apple рекомендует всем пользователям Yosemite, Mavericks и Mountain Lion установить обновление «как можно скорее».

Обновление устраняет проблему, которая была освещена правительством США в пятницу, 19 декабря, и изначально была обнаружена командой безопасности Google. Уязвимость позволяет злоумышленнику выполнять произвольный код с привилегиями процесса ntpd.

Исследователи команды безопасности Google Нил Мехта и Стивен Реттгер скоординировали несколько уязвимостей с CERT/CC, касающихся протокола сетевого времени (NTP). Поскольку NTP широко используется в промышленных системах управления, NCCIC/ICS-CERT предоставляет эту информацию владельцам и операторам критически важной инфраструктуры США для ознакомления и выявления мер по смягчению последствий для затронутых устройств. ICS-CERT может выпускать обновления по мере поступления дополнительной информации.

Эти уязвимости могут быть использованы удаленно. Эксплойты, нацеленные на эти уязвимости, общедоступны.

Затронуты продукты, использующие службу NTP до версии NTP–4.2.8. Конкретный поставщик не указан, поскольку это протокол с открытым исходным кодом.

За 2014 год Apple столкнулась с несколькими уязвимостями, из которых самой недавней было обновление OS X bash в сентябре для устранения уязвимости безопасности «Shellshock». Сегодняшнее обновление безопасности можно загрузить из Mac App Store.

Обновление: Как отметило агентство Reuters, это обновление является первым случаем, когда Apple развернула автоматическое обновление безопасности, которое может быть установлено без авторизации пользователя.