近日，苹果公司发布四个安全更新，修补超过50个安全漏洞，涵盖的MacOSX中的元件及的Windows版Safari浏览器。这是苹果今年度首次安全更新，也是近来最大规模的安全更新。

苹果所发布的四个安全更新分别为针对Mac OS X v10.4.11及Mac OSXv10.5.6操作系统部件的安全更新Security Update 2009-001；针对Mac OSX10.5的Java部件更新;锁定的Mac OSX10.4的Java部件更新;以及Safari浏览器3.2.2Windows版的更新，总计修补逾50个安全漏洞。

Updata2009-001所修补的安全漏洞主要影响AFP服务器，苹果影片处理工具PixletVideo、CarbonCore、CFNetwork、CertificateAssistant、ClamAV、CoreText、CUPS、DSTools、fetchmail、FolderManager、FSEvents、NetworkTime、perl、Printing、python、RemoteEvents、servermgrd、SMB、SquirrelMail、X11、XTerm，以及Safari中的RSS。

其中，Safari浏览器的RSS漏洞在Safari浏览器处理嵌入feed:URL的方式时存在多个输入验证问题，因此当使用者存取恶意的feed:URL时，可能导致执行任意程式。

在苹果公司发布安全更新后不久，Safari漏洞发现者之一的BrianMastenbrook在其博客中警告用户，该Safari漏洞十分危险，指出该漏洞是Safari浏览器中RSSfeed的设计失误，将远端的内容错认为使用者计算机中的内容，不论是苹果还是Windows系统的Safari浏览器都受此漏洞的影响，并可能导致跨站攻击(XSS)。

Mastenbrook表示，该漏洞很容易被发动钓鱼欺骗的攻击者利用，攻击者只需要架设一个网络服务器，当用户点击一个并不存在的页面时，自动回复一个含有恶意程序的页面给用户。他强调，早在去年7月他就提供了相关漏洞信息以及可存取使用者电脑中档案的POC文档给苹果公司，但苹果公司迟迟未予修补，使得他不得不在今年1月张贴该漏洞的警告，并建议使用者暂时关闭Safari浏览器中的RSS功能。

此外，苹果针对Mac OS X的10.5及10.5的MacOSX等操作系统的Java部件的更新皆为修补Java网络启动与Java插件中的多个安全漏洞，其中最严重的漏洞可能会让不受信任的Java的应用提升使用权限。