Apple schließt 13 Sicherheitslücken in MacOS X

Gut einen Monat nach dem letzten größeren Sicherheits-Patch stellt Apple ein weiteres Update bereit, um bekannte Sicherheitslücken zu schließen. Das Sicherheits-Update behebt an insgesamt 13 Stellen Probleme von MacOS X 10.4. Betroffen sind sowohl die Client- als auch die Server-Variante. Immerhin zehn dieser Fehler betreffen auch den Vorgänger MacOS X 10.3.

Ein Fehler des Alias Managers erlaubt es Angreifern, einen Nutzer dazu zu bringen, unbemerkt ein Schadprogramm zu starten. Nur unter MacOS X 10.4 existiert eine Sicherheitslücke in der CoreGraphics-Komponente. Sie erlaubt Angreifern, über eine präparierte PDF-Datei einen Absturz zu provozieren oder gar beliebigen Code auszuführen. In eine ähnliche Kerbe schlägt die Nutzung des file-Kommandos: Auf eine entsprechend präparierte Datei angewendet kann es auch hier zu einem Absturz und einer Codeausführung kommen.

Des Weiteren behebt das Update weitere Sicherheitsprobleme in den Komponenten iChat, mDNSResponder, texinfo, GNU Screen, ruby, fetchmail, crontabs und BIND, die meist Denial-of-Service-Angriffe und Codeausführungen erlauben. Lücken in den Komponenten vpnd, PPP können ausgenutzt werden, um sich höhere Systemrechte zu erschleichen. Bei einigen Komponenten sind diese Angriffe nur lokal möglich.

Das Sicherheits-Update 2007-005 umfasst auch die vorherige Patchsammlung, die weitere 25 Sicherheitslücken behebt. Wie üblich kann es über die Software-Aktualisierung von MacOS X bezogen werden oder bei Apple direkt heruntergeladen werden.