Apple beseitigt gefährliches DNS-Sicherheitsleck

Sicherheitslücken in zwölf Komponenten von MacOS X

Mit einem Patch beseitigt Apple das DNS-Sicherheitsloch im BIND-Server und schließt Sicherheitslücken in elf weiteren Komponenten von MacOS X. Sieben davon können zum Ausführen von Schadcode missbraucht werden und werden als entsprechend gefährlich eingestuft.

Anzeige

Anfang Juli 2008 wurde das DNS-Sicherheitsloch gemeldet und vor rund einer Woche Schadcode gesichtet, der das Sicherheitsleck ausnutzt, um etwa Nutzer auf fremde Webseiten zu lotsen. Nun hat Apple mit einem Patch reagiert, der den Fehler im BIND-Server von MacOS X 10.4.11 sowie 10.5.4 korrigiert. Standardmäßig ist dieser nicht aktiviert.

Im Betriebssystemkernel befindet sich ein gefährliches Sicherheitsleck, das sich mit langen Dateinamen ausnutzen lässt. Dann kann ein Angreifer entweder gezielt einen Absturz hervorrufen oder aber auch beliebigen Programmcode ausführen. Mit dem nun veröffentlichten Patch soll der Fehler beseitigt werden.

Gleich zwei gefährliche Sicherheitslecks beseitigt der Patch in der CoreGraphics-Komponente von MacOS X, die beide zum Ausführen schadhaften Codes missbraucht werden können. Ein Opfer muss lediglich dazu gebracht werden, eine manipulierte PDF-Datei oder eine entsprechend präparierte Webseite anzuzeigen.

Mit einer manipulierten Datei im Format von Microsofts Officepaket lässt sich ebenfalls Schadcode ausführen oder ein Programmabsturz provozieren. Schuld daran sind gleich mehrere Sicherheitslöcher in QuickLook, die nun mit dem Patch beseitigt sein sollen. Ein Sicherheitsloch in OpenSSL kann ebenfalls zum Ausführen von Schadcode missbraucht werden. Dazu ist ein manipuliertes Datenpaket erforderlich, das im harmloseren Fall zum Programmabsturz führt.

Ein weiteres Sicherheitsleck in der Open-Scripting-Architektur von MacOS X gestattet einem lokalen Nutzer die Ausweitung von Benutzerrechten und somit auch die Ausführung von Schadcode. Dazu muss der Angreifer direkten Zugriff auf das betreffende System besitzen. Gleiches gilt für das Sicherheitsloch im Disk Utility in MacOS X 10.4.11. Läuft das Reparaturrechte-Werkzeug, kann ein angemeldeter Nutzer über emacs Befehle mit Systemrechten ausführen.

Zudem beseitigt der Patch einen Fehler in der Data-Detector-Komponente von MacOS X 10.5.4, der zum Programmabsturz führt. Das gleiche Angriffsszenario findet sich in OpenLDAP, das mittels spezieller LDAP-Nachrichten ausgenutzt werden kann. Ein Fehler in rsync gestattet die Einsicht oder das Überschreiben von Dateien und soll nun korrigiert sein. Gleich eine Reihe von Sicherheitslecks und Fehler werden mit dem Patch in der PHP-Komponente von MacOS X 10.5.4 beseitigt.

Der Sicherheitspatch für MacOS X 10.4.11 sowie 10.5.4 steht ab sofort zum Download bereit und gilt auch für die Serverausführungen des Betriebssystems. Die Patches werden auch über die Updatefunktion des Betriebssystems verteilt.

Kommentarübersicht
OSX Sicherheitsrisiko
SzeneKenner 05. Aug 2008

Desewgen entscheinden sich mehr und mehr für das sichere Vista: http://www.zdnet.de/news...

Re: Der größte Troll am Start ...
Deppen-Hasser... 05. Aug 2008

Hättest du dir den Teil in der Klammer gespart würde dein Satz nicht das genaue...

Re: Der größte Troll am Start ...
anoynmous 04. Aug 2008

auweia, das kann man auch etwas anders formulieren oder? nachdem was ich hier von dir...

Re: Der größte Troll am Start ...
Kritiker mit... 04. Aug 2008

Du beleidigst andere Leute. Und noch so viel Fachwissen (ob man's glaube soll?) kann...

Re: Der größte Troll am Start ...
Deppen-Hasser... 04. Aug 2008

Deines auch nicht Meines basiert wenigstens auf Fachwissen Du bist ein Trottel der vor...

Kommentieren

Trackbacks

aptgetupdate.de / 01. Aug 2008

Updaten, aber Zack

Anzeige
Stellenmarkt
  1. IT-Ausbilder (m/w) für den technischen Ausbildungsbereich
    ROHDE & SCHWARZ GmbH & Co. KG, München
  2. Fachinformatiker Multimedia (m/w)
    CT Creative Technology GmbH & Co. KG, Nürtingen
  3. Softwareentwickler (m/w) Bestandsführungssysteme
    Helvetia Schweizerische Versicherungsgesellschaft AG, Frankfurt am Main
  4. IT-Projektmitarbeiter (m/w) DB / Logistiksoftware
    transmed Transport GmbH, Regensburg

 

Detailsuche

Folgen Sie uns
       
Videos
Google Glass lernt, Gesichter zu erkennen Google Glass lernt, Gesichter zu erkennen
Ticker
  1. Xbox One

    Forza 5 und Halo-Serie von Spielberg kommen für Xbox One

  2. Microsoft

    Xbox One mit neuer Kinect und Blu-ray-Laufwerk

  3. Datennetz

    Bundesweite Störung beim mobilen Internet der Telekom

  4. Heavy Gear Assault

    Mech-Action auf Basis der Unreal Engine 4

  5. Superkondensator

    Neuer Energiespeicher mit kurzer Ladezeit

  6. Ruckus Wireless

    Telefonzellen werden zu Gratis-Hotspots

  7. Engine

    Unity-Basis kostenlos mit Mobile-Werkzeugen

  8. Drosselung

    Ein Drittel aller Filme wird als Video-on-Demand geliehen

  9. Wikileaks

    Wau-Holland-Stiftung kann nur noch die Server bezahlen

  10. Surface Pro im Test

    Microsofts Tablet überzeugt als Notebook

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Jolla
Sailfish-Smartphone: Jolla stellt "The Other Half" vor
Sailfish-Smartphone
Jolla stellt "The Other Half" vor

Jolla hat unter dem Namen "The Other Half" (Die andere Hälfte) sein erstes Smartphone mit dem Meego-Nachfolger Sailfish OS vorgestellt. Die Entwickler von Nokias einzigem Meego-Smartphone N9 bieten "Die andere Hälfte" mit 4,5-Zoll-Display ab sofort zur Vorbestellung an.

  1. Sailfish OS Erste Jolla-Smartphones Anfang Mai erhältlich
  2. Displayserver Wayland 1.1 mit neuen Weston-Backends
  3. Jolla SDK für Sailfish veröffentlicht
OLED
LG: Flexibles OLED für gewölbte Smartphones
LG
Flexibles OLED für gewölbte Smartphones

LG hat ein OLED-Display mit 5 Zoll großer Diagonale präsentiert, das flexibel ist und damit den Weg für gewölbte Smartphones freimacht. Auch ein 7 Zoll großes Display mit Full-HD-Auflösung in herkömmlicher LCD-Technik gehört zu den Neuheiten.

  1. Lotus XT Glas Neues Corning-Schutzglas für 2 Meter breite Bildschirme
  2. Smartphone Google bringt Galaxy S4 mit purem Android
  3. LG 55EA9800 Gebogener OLED-Fernseher mit 55 Zoll ist serienreif
Google Wallet
Bezahldienst: Google Checkout wird eingestellt
Bezahldienst
Google Checkout wird eingestellt

Google stellt seinen Zahlungsdienst Checkout in sechs Monaten ein. Anbieter sollen stattdessen auf Google Wallet umsteigen.

  1. Google Wallet Geldversand per E-Mail
  2. Messenger iPhone-Nutzer sollen jährlich für Whatsapp zahlen
  3. Instant-Messaging Whatsapp für Blackberry 10 ist da
Forumsbeiträge »
  1. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: WAS für ein Mist...

    PaytimeAT | 21:40

  2. Hochauflösend Samsung zeigt Notebookdisplay mit 3.200 x 1.800 Pixeln

    Re: Wofür diese hohen Auflösungen auf so kleinen...

    chrulri | 21:39

  3. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: IE im Livestream, war die animation mit webgl?

    k@rsten | 21:39

  4. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: Kinect hat ein massives Problem

    NadineMüller | 21:39

  5. Browser Opera für Android mit Webkit-Engine ist da

    Re: Opera Turbo / Offroad

    TC | 21:38

Ticker »
  1. Xbox One Forza 5 und Halo-Serie von Spielberg kommen für Xbox One

    21:12

  2. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    19:48

  3. Datennetz Bundesweite Störung beim mobilen Internet der Telekom

    19:04

  4. Heavy Gear Assault Mech-Action auf Basis der Unreal Engine 4

    18:51

  5. Superkondensator Neuer Energiespeicher mit kurzer Ladezeit

    18:07

  6. Ruckus Wireless Telefonzellen werden zu Gratis-Hotspots

    16:48

  7. Engine Unity-Basis kostenlos mit Mobile-Werkzeugen

    16:24

  8. Drosselung Ein Drittel aller Filme wird als Video-on-Demand geliehen

    15:04

Zum Artikel