根据外媒 Apple Insider 的报道,苹果已经为 Mac 版数码音乐创作软件 GarageBand 发布了最新补丁,修复了一个研究人员发现的漏洞,这个漏洞可能会被黑客利用,通过软件中有缺陷的文件来执行恶意代码。
据了解,苹果已经发布了这款 GarageBand 音乐软件的 10.1.6 版本,并且修复了来自 Cisco Talos 公司的研究人员 Tyler Bohan 发现的漏洞,这一漏洞被描述为“GarageBand 项目文件可能会导致任意代码的执行”,而苹果通过内存处理的方式来解决了这一问题。
Tyler Bohan 认为,这个问题出在 GarageBand 专有的 .band 文件的解析方面。这个文件可以被分成拥有不同属性的部分,每一部分的长度由用户控制,并且没有任何验证能够检查每个部分的长度是否处于定义范围内。
缺乏验证意味着攻击者可以创建一个含有隐藏代码文件的 .band 文件,一旦这个文件在 GarageBand 内打开,该代码将会自动执行。不过,这个漏洞不太可能并没有被人利用到,因为 Tyler Bohan 是在苹果发布补丁之后才公布了这一问题。
目前,用户可以通过 Mac App Store 更新到这款 GarageBand 软件的 10.1.6 版本,其大小为 956MB,需要 0S X 10.10 或者更高的系统版本,它的价格为 30 元。