GarageBand存在漏洞？蘋果已經把它“堵上”

根據外媒 Apple Insider 的報導，蘋果已經為 Mac 版數碼音樂創作軟體 GarageBand 發佈了最新補丁，修復了一個研究人員發現的漏洞，這個漏洞可能會被駭客利用，通過軟體中有缺陷的檔來執行惡意程式碼。

據瞭解，蘋果已經發佈了這款 GarageBand 音樂軟體的 10.1.6 版本，並且修復了來自 Cisco Talos 公司的研究人員 Tyler Bohan 發現的漏洞，這一漏洞被描述為“GarageBand 專案檔案可能會導致任意代碼的執行”，而蘋果通過記憶體處理的方式來解決了這一問題。

Tyler Bohan 認為，這個問題出在 GarageBand 專有的 .band 檔的解析方面。這個檔可以被分成擁有不同屬性的部分，每一部分的長度由用戶控制，並且沒有任何驗證能夠檢查每個部分的長度是否處於定義範圍內。

缺乏驗證意味著攻擊者可以創建一個含有隱藏代碼檔的 .band 檔，一旦這個檔在 GarageBand 內打開，該代碼將會自動執行。不過，這個漏洞不太可能並沒有被人利用到，因為 Tyler Bohan 是在蘋果發佈補丁之後才公佈了這一問題。

目前，用戶可以通過 Mac App Store 更新到這款 GarageBand 軟體的 10.1.6 版本，其大小為 956MB，需要 OS X 10.10 或者更高的系統版本，它的價格為 30 元。