MacOS X - Sicherheits-Patch korrigiert 20 Programmfehler

Zahlreiche gefährliche Sicherheitslücken gefunden

Insgesamt 20 Sicherheitslücken schließt Apple mit einem Sicherheits-Update in den MacOS-Versionen 10.3.9 sowie 10.4.7. Ein Großteil der nun korrigierten Sicherheitslecks kann zur Ausführung von Programmcode missbraucht werden. Zudem hat die Bluetooth-Funktion eine Sicherheitsverbesserung erfahren.

Artikel veröffentlicht am ,

Die Betriebssystem-Komponente LaunchServices weist unter MacOS X 10.4.7 einen Fehler auf, worüber eine präparierte Webseite JavaScript-Code mit lokalen Rechten ausführen und sich so eine weitreichende Kontrolle über ein fremdes System verschaffen kann. Auch im WebKit steckt ein Fehler, worüber Angreifer per HTML-Seite beliebigen Programmcode ausführen können.

Stellenmarkt
  1. Microsoft Dynamics Business Central Developer / Programmierer (m/w/d)
    Heinz von Heiden GmbH Massivhäuser, Isernhagen
  2. Fachinformatiker (m/w/d) IT Support
    Bank of America/Military Banking Overseas Division, Mainz-Kastel
Detailsuche

In der Kompressionsroutine Bom sorgt ein Sicherheitsloch dafür, dass Angreifer über eine präparierte ZIP-Datei beliebigen Programmcode starten können. Ebenfalls zu einer Codeausführung führen Fehler in DHCP, Fetchmail, ImageIO sowie Image RAW. Letztere beiden Komponenten übernehmen die Anzeige von Bilderdaten und die betreffenden Sicherheitslücken stecken nur in MacOS X 10.4.7. Ein weiteres Sicherheitsloch in AppKit und ImageIO führt bei der Darstellung von präparierten TIFF-Dateien zum Programmabsturz, der sich auch zum Starten von Programmcode ausnutzen lässt. Nur für MacOS X 10.4.7 wurde außerdem die Bluetooth-Sicherheit durch einen längeren Passkey erhöht.

Vier Sicherheitslücken stecken im AFP-Server und eine davon kann zu einem Absturz führen sowie das Ausführen schadhaften Programmcode ermöglichen. Ein zweites Sicherheitsleck erlaubt einem Angreifer einen unberechtigten Zugriff auf Dateien, während ein dritter Fehler im AFP-Server eine Rechteausweitung erlaubt. Das vierte Sicherheitsloch kann ebenfalls zu einem Absturz führen und für eine Denial-of-Service-Attacke missbraucht werden.

Lokal angemeldete Nutzer können über zwei Sicherheitslücken in dyld entweder die eigenen Rechte ausweiten oder andere Applikationen negativ beeinflussen. Ebenfalls nur angemeldete Nutzer können die Dateirechte über einen Fehler in gunzip verändern, auch wenn ihnen dazu die erforderliche Berechtigung fehlt. Ein zweiter gunzip-Fehler erlaubt es einem Angreifer Programmcode einzuschleusen. Ein Sicherheitsloch in OpenSSH von MacOS X 10.4.7 verursacht ferner einen Denial-of-Service-Angriff und telnet enthüllt Umgebungsvariablen, die eigentlich nicht einsehbar sein sollten.

Apple bietet das Sicherheits-Update für MacOS X 10.3.9 sowie 10.4.7 in Versionen für PowerPC-Systeme und Intel-Macs zum Download an. Neben der Desktop-Ausführung steht auch die Server-Variante für MacOS X 10.3.9 bereit und die Updates können über die Software-Aktualisierung des Betriebssystems eingespielt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Amtlicher Energiekostenvergleich  
Benzinkosten mehr als doppelt so teuer wie Ladestrom

Vom 1. Oktober an müssen große Tankstellen einen Energiekostenvergleich aushängen. Dabei schneiden Elektroautos derzeit am besten ab.

Amtlicher Energiekostenvergleich: Benzinkosten mehr als doppelt so teuer wie Ladestrom
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Jelly Scrolling: iPad mini 6 mit Wackelpudding-Scrolling
    Jelly Scrolling
    iPad mini 6 mit Wackelpudding-Scrolling

    Das neue iPad Mini 6 macht bei einigen Anwendern sichtbare Probleme. Beim Scrollen hinkt eine Bildschirmhälfte hinterher.

  3. Full Self-Driving Beta: Tesla schaltet Selbstfahrmodus für US-Nutzer frei
    Full Self-Driving Beta
    Tesla schaltet Selbstfahrmodus für US-Nutzer frei

    Mit einer neuen Software-Version können Tesla-Fahrer den Selbstfahrmodus FSD aktivieren. Vor der Freigabe gibt es aber einen Sicherheitscheck.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. DeepCool Matrexx 55 V3 ADD-RGB WH 49,98€) • Thunder X3 TC5 145,89€ • Toshiba Canvio Desktop 6 TB ab 99€ • Samsung 970 EVO Plus 2 TB 208,48€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • WISO Steuer-Start 2021 10,39€ • Samsung Odyssey G7 499€ [Werbung]
    •  /