Apple muss nochmal an Safari-Sicherheitsleck ran

Aktuelles Sicherheits-Update für MacOS X schließt drei Lücken

Anfang März 2006 hat Apple unter anderem ein Sicherheitsleck in dem Webbrowser Safari behoben. So war jedenfalls der Plan. Allerdings sorgte die Fehlerkorrektur nicht nur für neue Probleme, sondern das Sicherheitsleck wurde auch nicht korrekt geschlossen. Mit einem weiteren Sicherheits-Patch für MacOS X 10.3.9 sowie 10.4.5 soll der Fehler nun in einem zweiten Anlauf behoben werden.

Artikel veröffentlicht am ,

Als Apple Anfang März 2006 unter anderem vier Sicherheitslücken in Safari behoben hatte, wurde ein Sicherheitsloch nicht wie versprochen komplett geschlossen. Über dieses Safari-Leck konnten Angreifer unter bestimmten Umständen unbemerkt beliebigen Programmcode auf einem fremden System ausführen. Dazu muss eine ausführbare Datei vorgeben, etwa ein Bild oder eine Videodatei zu sein, so dass beim Öffnen einer entsprechenden Datei der dahinter steckende Programmcode ausgeführt wird.

Falls in Safari die Option aktiviert ist, dass sichere Downloads unmittelbar nach dem Herunterladen ausgeführt werden sollen, kann dies einen automatischen Angriff bedeuten. In einem ersten Anlauf versuchte Apple, diesen Fehler bereits Anfang März 2006 zu beseitigen, blieb allerdings erfolglos, wie jetzt bekannt wurde. Der nun veröffentlichte Patch soll das Sicherheitsleck in Safari auf den betroffenen Systemen mit MacOS X 10.4.5 endgültig schließen, indem zusätzliche Mechanismen bei der Überprüfung von Download-Dateien zum Zuge kommen.

Ein zweites mit dem aktuellen Sicherheits-Patch zu schließendes Leck betrifft die Ausführung von JavaScript-Code, wenn dieser in Dokumenten enthalten ist. Ein Angreifer kann eine beliebige Datei auf einer Website lagern, die dann geladen und auf dem betroffenen System ausgeführt wird, wenn ein manipuliertes Dokument geöffnet wird. Sowohl dieses als auch das folgende Sicherheitsleck steckt nur in MacOS X 10.4.5 und soll in früheren Versionen keine Rolle spielen.

Das dritte Sicherheitsleck wurde im Mail-Client von MacOS X gefunden. Darüber kann ein Buffer Overflow verursacht werden, indem ein Angreifer sein Opfer zum Öffnen eines präparierten E-Mail-Anhangs bewegt. Dies erlaubt dann die Ausführung beliebigen Programmcodes mit den Rechten des angemeldeten Nutzers.

Schließlich behebt das aktuelle Update noch drei Fehler, die sich mit dem Anfang März 2006 veröffentlichten Sicherheits-Update eingeschlichen haben. So hatte die Download-Überprüfung überflüssigerweise auch vor Word-Dokumenten oder Verzeichnissen mit eigenen Icons gewarnt, was nun nicht mehr vorkommen soll. Zudem sorgte eine Einschränkung in PHP 4.4.1 dafür, dass der E-Mail-Client SquirrelMail nicht mehr korrekt funktionierte. Schließlich verursachte eine Einschränkung in der rsync-Funktion, dass das Kommando "--delete" funktionslos blieb, was nun gleichfalls mit dem Update korrigiert werden soll.

Mit einem Patch für MacOS X 10.3.9 sowie 10.4.5 sollen die genannten Sicherheitslücken und Fehler nun abschließend geschlossen werden. Das Sicherheits-Update steht kostenlos zum Download bereit und wird über die Software-Aktualisierung des Betriebssystems angeboten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bauernproteste
Wie KI-Inhalte das politische Klima verändern

Über das gesamte politische Spektrum werden mittlerweile KI-generierte Inhalte genutzt. Warum sind sie so populär und welche Folgen hat das?
Von Johannes Hiltscher

Bauernproteste: Wie KI-Inhalte das politische Klima verändern
Artikel
  1. Massenverkäufe: Teslas sind nicht mehr Hertz' Sache
    Massenverkäufe
    Teslas sind nicht mehr Hertz' Sache

    Der Autovermieter Hertz trennt sich von Teilen seiner Tesla-Flotte und anderen Elektroautos und setzt stattdessen auf Verbrennerfahrzeuge.

  2. Kritische Webseite tyrannisiert: Ebay zahlt 3 Millionen US-Dollar für bizarre Einschüchterung
    Kritische Webseite tyrannisiert
    Ebay zahlt 3 Millionen US-Dollar für bizarre Einschüchterung

    Ehemalige Ebay-Mitarbeiter bedrängten die Herausgeber einer unternehmenskritischen Webseite. Es ging um die Zusendung lebendiger Kakerlaken und eine blutige Schweinemaske.

  3. Future Racing Cable: Modulares USB-Kabel lädt 240 Watt und überträgt 40 GBit/s
    Future Racing Cable
    Modulares USB-Kabel lädt 240 Watt und überträgt 40 GBit/s

    Auf Indiegogo verspricht der Hersteller, dass kein anderes USB-Kabel mehr gebraucht wird. Schließlich sei das Future Racing Cable vielseitig.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Lenovo 34" 21:9 Curved WQHD 299€ • ASRock RX 7900 XTX 1.039,18€ • War Hospital 21,59€ • Amazon-Geräte -50% • Acer 34" OLED UWQHD 175Hz 999€ • PS5 + Spider-Man 2 569€ • AMD Ryzen 9 5950X 379€ • Switch-Controller 17,84€ • AOC 27" QHD 165Hz 229€ • 3 Spiele für 49€ [Werbung]
    •  /