Gravierende Sicherheitslücken in MacOS X und Safari

Betriebssystem-Patch behebt zehn Sicherheitslöcher in MacOS X

Insgesamt zehn Sicherheitslöcher beseitigt ein neues Update für MacOS X. Über zwei der Sicherheitslöcher können Angreifer über eine manipulierte Bilddatei schädlichen Programmcode ausführen, um sich so eine umfassende Kontrolle über ein fremdes System zu verschaffen. Dazu würde bereits der Besuch einer Webseite etwa mit Safari genügen.

Artikel veröffentlicht am ,

Ein gravierendes Sicherheitsleck steckt in der Betriebssystemkomponente ImageIO von MacOS X, welche die Anzeige von Bildern übernimmt. Das Sicherheitsloch erlaubt es einem Angreifer, über manipulierte GIF-Dateien beliebigen Programmcode auszuführen. ImageIO wird unter anderem von WebCore und Safari verwendet.

Stellenmarkt
  1. IT-Administrator (m/w/d)
    Wagon Automotive Nagold GmbH, Nagold
  2. IT-Netzwerkspezialistin/IT-N- etzwerkspezialist (w/m/d)
    Universitätsklinikum Tübingen, Tübingen
Detailsuche

Im QuickDraw Manager von MacOS X wurde ein weiteres Sicherheitsloch bekannt, mit dem ein Angreifer beliebigen Programmcode ausführen kann, indem Opfern eine manipulierte PICT-Datei untergeschoben wird. Der QuickDraw Manager wird zur Anzeige von PICT-Bildern etwa von Safari, Mail und dem Finder verwendet.

Zwei weitere Sicherheitslücken stecken in der Mail-Applikation von MacOS X. Bei der Beantwortung verschlüsselter Nachrichten sorgt ein Fehler dafür, dass der zitierte E-Mail-Text unverschlüsselt eingefügt wird, was einem Angreifer so den Zugriff auf vertrauliche Informationen verschafft. Auch bei Einsatz von Kerberos Version 5 können vertrauliche Informationen durch einen Fehler einsehbar werden.

Ein Sicherheitsloch in Safari erlaubt eine Cross-Site-Scripting-Attacke, weil Web-Archive nicht fehlerfrei im Browser angezeigt werden. Ein Fehler im SecurityAgent sorgt dafür, dass ein Nutzer sich an einem im Sleep-Modus befindlichen Rechner anmelden kann, ohne die erforderlichen Zugangsdaten zu kennen, weil die betreffende Abfrage nicht erscheint.

Beliebigen Programmcode können Angreifer auch starten, indem sie sich eine Sicherheitslücke in der Scriptsprache Ruby zunutze machen. Ein Sicherheitsloch in malloc erlaubt es einem Angreifer, die eigenen Rechte auszuweiten, um sich eine größere Kontrolle an dem angemeldeten Rechner zu verschaffen. QuickTime for Java weist ein Sicherheitsleck auf, womit sich ein Java-Applet mehr Rechte verschaffen kann. Schließlich wurde in securityd ein Sicherheitsloch gefunden, worüber ebenfalls eine Rechteausweitung möglich ist.

Die genannten zehn Sicherheitslücken soll das aktuelle Update für MacOS X 10.3.9 sowie 10.4.2 beheben, das kostenlos zum Download bereitsteht sowie über die Software-Aktualisierung des Betriebssystems angeboten wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Software-Unternehmer
John McAfee tot im Gefängnis aufgefunden

John McAfee ist tot in einer Gefängniszelle gefunden worden. Ihm drohte eine Auslieferung von Spanien in die USA.

Software-Unternehmer: John McAfee tot im Gefängnis aufgefunden
Artikel
  1. Verbraucherzentrale zu Glasfaser: 100 bis 300 MBit/s sind vollkommen ausreichend
    Verbraucherzentrale zu Glasfaser
    "100 bis 300 MBit/s sind vollkommen ausreichend"

    Während alle versuchen, den Glasfaser-Ausbau zu beschleunigen, raten Verbraucherschützer, nicht für Tarife mit sehr hoher Bandbreite zu zahlen, die man angeblich gar nicht benötige.

  2. In eigener Sache: Wie geht es IT-Fachleuten nach über einem Jahr Corona?
    In eigener Sache
    Wie geht es IT-Fachleuten nach über einem Jahr Corona?

    Selten hat ein Ereignis die Arbeit so verändert wie Corona. Golem.de möchte von dir wissen, was das für dich bedeutet. Bitte nimm an der Umfrage teil - es dauert nicht lange!

  3. Bitcoin: Bitmain stoppt Verkauf von Krypto-Minern
    Bitcoin
    Bitmain stoppt Verkauf von Krypto-Minern

    Aufgrund des chinesischen Vorgehens gegen Kryptomining gibt es viele gebrauchte Bitcoin-Rigs auf dem Markt - deren größter Hersteller zieht Konsequenzen.

JBird 25. Sep 2005

Also bitte nächstes Mal "und nein ich bin kein Apple-Fanatiker", sollte das heißen. :)

igigi 24. Sep 2005

Also bei einer New Meldung in der es darum geht das ein Patch Lücken schliest solte das...

Trollschlachter 24. Sep 2005

Klar doch. Sicher! *g* Darum belegst du dein Posting auch so konkret..

BastiX 23. Sep 2005

10.4.2 Ist die neuste Version von OS X, kann so alt also nicht sein.

C0ntroller 23. Sep 2005

Stimmt. Das ist aber bei Golem Programm (siehe diverse Überschriften zu IE, Mozilla- und...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 87,61€ • 6 Blu-rays für 30€ • Landwirtschafts-Simulator 22 jetzt vorbestellbar ab 39,99€ • MSI Optix MAG272CQR Curved WQHD 165Hz 309€ [Werbung]
    •  /