Abo
  • Services:

Safari mit gefährlichen Sicherheitslöchern

In den MacOS-X-Komponenten sudo und iodbcadmintool wurden zudem Sicherheitslücken gefunden, worüber angemeldete Nutzer sich unter bestimmten Umständen erweiterte Rechte verschaffen können. Ein weiteres Sicherheitsloch in MacOS X 10.3.9 sowie 10.4.3 betrifft OpenSSL, das dazu gebracht werden kann, das schwächere SSLv2-Protokoll zu verwenden.

Stellenmarkt
  1. Alexander Bürkle GmbH & Co. KG, Freiburg im Breisgau
  2. OEDIV KG, Bielefeld

Zwei weitere Sicherheitslücken betreffen nur MacOS X ab der Version 10.4 und machen sich in MacOS X 10.3.9 nicht bemerkbar. Über die Betriebssystemkomponente curl lässt sich Programmcode ausführen, wenn curl mit NTLM-Authentifikation verwendet wird und ein Angreifer einen überlangen Nutzernamen oder Domain-Namen übergibt. Die andere Sicherheitslücke befindet sich in syslog, worüber ein lokaler Angreifer Protokolldaten verändern und etwa den Systemadministrator in die Irre führen kann.

In den Server-Ausführungen von MacOS X werden Programmfehler in Apache 2 sowie den SSL-Funktionen von Apache und im Password-Server behoben. Denn mit Hilfe speziell formatierter HTTP-Header lassen sich Cross-Site-Scripting-Angriffe über Apache 2 ausführen. Apple gibt an, dass sich das Sicherheitsleck nur bemerkbar macht, wenn der Webserver mit bestimmten Proxy-Servern oder Web-Application-Firewalls eingesetzt wird.

Das mod_ssl-Modul von Apache weist ebenfalls eine Sicherheitslücke auf, mit der Angreifer die SSL-Authentifizierung umgehen können. Das Sicherheitsloch soll aber nur relevant sein, wenn die Einstellung "SSLVerifyClient require" aktiviert wurde. Über ein Sicherheitsleck im Password-Server können angemeldete Nutzer schließlich im Zusammenspiel mit Open Directory ihre Rechte ausweiten.

Die genannten 13 Sicherheitslücken soll das aktuelle Sicherheits-Update für MacOS X 10.3.9 sowie 10.4.3 beheben, das kostenlos zum Download bereitsteht sowie über die Software-Aktualisierung des Betriebssystems angeboten wird.

 Safari mit gefährlichen Sicherheitslöchern
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 119,90€

Wolle 30. Nov 2005

Das ist ja mal sehr ausführlich, da kann keiner mithalten.


Folgen Sie uns
       


Nuraphone Kopfhörer- Test

Der Nuraphone bietet einen automatischen Hörtest, der den Frequenzgang des Kopfhörers je nach Nutzer unterschiedlich einstellt. Die Klangqualität des ungewöhnlichen Kopfhörers hat Golem.de im Test überzeugt.

Nuraphone Kopfhörer- Test Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Need for Speed 3 Hot Pursuit (1998): El Nino, Polizeifunk und Lichtgewitter in Rot-Blau
    Need for Speed 3 Hot Pursuit (1998)
    El Nino, Polizeifunk und Lichtgewitter in Rot-Blau

    Golem retro_ Electronic Arts ist berühmt und berüchtigt für jährliche Updates und Neuveröffentlichungen. Was der Publisher aber 1998 für digitale Raser auffuhr, ist in puncto Dramatik bei Verfolgungsjagden bis heute unerreicht.
    Von Michael Wieczorek

    1. Playstation Classic im Test Sony schlampt, aber Rettung naht

    Machine Learning: Wie Technik jede Stimme stehlen kann
    Machine Learning
    Wie Technik jede Stimme stehlen kann

    Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
    Ein Bericht von Felix Lill

    1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
    2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
    3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

      •  /