Abo
  • Services:
Anzeige

MacOS X - Sicherheits-Patch korrigiert 20 Programmfehler

Zahlreiche gefährliche Sicherheitslücken gefunden

Insgesamt 20 Sicherheitslücken schließt Apple mit einem Sicherheits-Update in den MacOS-Versionen 10.3.9 sowie 10.4.7. Ein Großteil der nun korrigierten Sicherheitslecks kann zur Ausführung von Programmcode missbraucht werden. Zudem hat die Bluetooth-Funktion eine Sicherheitsverbesserung erfahren.

Die Betriebssystem-Komponente LaunchServices weist unter MacOS X 10.4.7 einen Fehler auf, worüber eine präparierte Webseite JavaScript-Code mit lokalen Rechten ausführen und sich so eine weitreichende Kontrolle über ein fremdes System verschaffen kann. Auch im WebKit steckt ein Fehler, worüber Angreifer per HTML-Seite beliebigen Programmcode ausführen können.

Anzeige

In der Kompressionsroutine Bom sorgt ein Sicherheitsloch dafür, dass Angreifer über eine präparierte ZIP-Datei beliebigen Programmcode starten können. Ebenfalls zu einer Codeausführung führen Fehler in DHCP, Fetchmail, ImageIO sowie Image RAW. Letztere beiden Komponenten übernehmen die Anzeige von Bilderdaten und die betreffenden Sicherheitslücken stecken nur in MacOS X 10.4.7. Ein weiteres Sicherheitsloch in AppKit und ImageIO führt bei der Darstellung von präparierten TIFF-Dateien zum Programmabsturz, der sich auch zum Starten von Programmcode ausnutzen lässt. Nur für MacOS X 10.4.7 wurde außerdem die Bluetooth-Sicherheit durch einen längeren Passkey erhöht.

Vier Sicherheitslücken stecken im AFP-Server und eine davon kann zu einem Absturz führen sowie das Ausführen schadhaften Programmcode ermöglichen. Ein zweites Sicherheitsleck erlaubt einem Angreifer einen unberechtigten Zugriff auf Dateien, während ein dritter Fehler im AFP-Server eine Rechteausweitung erlaubt. Das vierte Sicherheitsloch kann ebenfalls zu einem Absturz führen und für eine Denial-of-Service-Attacke missbraucht werden.

Lokal angemeldete Nutzer können über zwei Sicherheitslücken in dyld entweder die eigenen Rechte ausweiten oder andere Applikationen negativ beeinflussen. Ebenfalls nur angemeldete Nutzer können die Dateirechte über einen Fehler in gunzip verändern, auch wenn ihnen dazu die erforderliche Berechtigung fehlt. Ein zweiter gunzip-Fehler erlaubt es einem Angreifer Programmcode einzuschleusen. Ein Sicherheitsloch in OpenSSH von MacOS X 10.4.7 verursacht ferner einen Denial-of-Service-Angriff und telnet enthüllt Umgebungsvariablen, die eigentlich nicht einsehbar sein sollten.

Apple bietet das Sicherheits-Update für MacOS X 10.3.9 sowie 10.4.7 in Versionen für PowerPC-Systeme und Intel-Macs zum Download an. Neben der Desktop-Ausführung steht auch die Server-Variante für MacOS X 10.3.9 bereit und die Updates können über die Software-Aktualisierung des Betriebssystems eingespielt werden.


eye home zur Startseite
jojojij2 02. Aug 2006

waschmittel auf dem computer??



Anzeige

Stellenmarkt
  1. BLOKS. GmbH, München
  2. operational services GmbH & Co. KG, Wolfsburg, Braunschweig
  3. Deutz AG, Köln-Porz
  4. operational services GmbH & Co. KG, Braunschweig


Anzeige
Hardware-Angebote
  1. ab 649,90€
  2. ab 14,99€

Folgen Sie uns
       


  1. Google

    Android 8.0 heißt Oreo

  2. KI

    Musk und andere fordern Verbot von autonomen Kampfrobotern

  3. Playerunknown's Battlegrounds

    Bluehole über Camper, das Wetter und die schussfeste Pfanne

  4. Vega 64 Strix ausprobiert

    Asus' Radeon macht fast alles besser

  5. Online-Tracking

    Händler können Bitcoin-Anonymität zerstören

  6. ANS-Coding

    Google will Patent auf freies Kodierverfahren

  7. Apple

    Aufregung um iPhone-Passcode-Entsperrbox

  8. Coffee Lake

    Intels 6C-Prozessoren erfordern neue Boards

  9. Square Enix

    Nvidia möbelt Final Fantasy 15 für Windows-PC auf

  10. Spionage

    FBI legt US-Unternehmen Kaspersky-Verzicht nahe



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Anschlag in Charlottesville: Nazis raus - aber nur aus PR-Gründen
Nach Anschlag in Charlottesville
Nazis raus - aber nur aus PR-Gründen
  1. Bundesinnenministerium Neues Online-Bürgerportal kostet 500 Millionen Euro
  2. EU-Transparenz EuGH bekräftigt nachträglichen Zugang zu Gerichtsakten
  3. Rücknahmepflicht Elektronikschrott wird kaum zurückgegeben

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  2. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  3. Workstation AMD bringt Radeon Pro WX 9100

Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

  1. Die wollen doch keine schnelleren Updates...

    mcmrc1 | 03:16

  2. Re: Bauernfängerei

    Aslo | 02:54

  3. Re: die liste geht nur bis S

    amagol | 02:53

  4. Re: Icon mit Zahl

    amagol | 02:49

  5. Re: Sieht ja chic aus

    tingelchen | 02:32


  1. 20:53

  2. 18:40

  3. 18:25

  4. 17:52

  5. 17:30

  6. 15:33

  7. 15:07

  8. 14:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel