近日，蘋果公司發布四個安全更新，修補超過50個安全漏洞，涵蓋的MacOSX中的元件及的Windows版Safari瀏覽器。這是蘋果今年度首次安全更新，也是近來最大規模的安全更新。

蘋果所發布的四個安全更新分別為針對Mac OS X v10.4.11及Mac OSXv10.5.6操作系統部件的安全更新Security Update 2009-001；針對Mac OSX10.5的Java部件更新;鎖定的Mac OSX10.4的Java部件更新;以及Safari瀏覽器3.2.2Windows版的更新，總計修補逾50個安全漏洞。

Updata2009-001所修補的安全漏洞主要影響AFP服務器，蘋果影片處理工具PixletVideo、CarbonCore、CFNetwork、CertificateAssistant、ClamAV、CoreText、CUPS、DSTools、fetchmail、FolderManager、FSEvents、NetworkTime、perl、Printing、python、RemoteEvents、servermgrd、SMB、SquirrelMail、X11、XTerm，以及Safari中的RSS。

其中，Safari瀏覽器的RSS漏洞在Safari瀏覽器處理嵌入feed:URL的方式時存在多個輸入驗證問題，因此當使用者存取惡意的feed:URL時，可能導致執行任意程式。

在蘋果公司發布安全更新后不久，Safari漏洞發現者之一的BrianMastenbrook在其博客中警告用戶，該Safari漏洞十分危險，指出該漏洞是Safari瀏覽器中RSSfeed的設計失誤，將遠端的內容錯認為使用者計算機中的內容，不論是蘋果還是Windows系統的Safari瀏覽器都受此漏洞的影響，并可能導致跨站攻擊(XSS)。

Mastenbrook表示，該漏洞很容易被發動釣魚欺騙的攻擊者利用，攻擊者只需要架設一個網絡服務器，當用戶點擊一個并不存在的頁面時，自動回復一個含有惡意程序的頁面給用戶。他強調，早在去年7月他就提供了相關漏洞信息以及可存取使用者電腦中檔案的POC文檔給蘋果公司，但蘋果公司遲遲未予修補，使得他不得不在今年1月張貼該漏洞的警告，并建議使用者暫時關閉Safari瀏覽器中的RSS功能。

此外，蘋果針對Mac OS X的10.5及10.5的MacOSX等操作系統的Java部件的更新皆為修補Java網絡啟動與Java插件中的多個安全漏洞，其中最嚴重的漏洞可能會讓不受信任的Java的應用提升使用權限。