• IT-Karriere:
  • Services:

MacOS X - Sicherheits-Patch korrigiert 20 Programmfehler

Zahlreiche gefährliche Sicherheitslücken gefunden

Insgesamt 20 Sicherheitslücken schließt Apple mit einem Sicherheits-Update in den MacOS-Versionen 10.3.9 sowie 10.4.7. Ein Großteil der nun korrigierten Sicherheitslecks kann zur Ausführung von Programmcode missbraucht werden. Zudem hat die Bluetooth-Funktion eine Sicherheitsverbesserung erfahren.

Artikel veröffentlicht am ,

Die Betriebssystem-Komponente LaunchServices weist unter MacOS X 10.4.7 einen Fehler auf, worüber eine präparierte Webseite JavaScript-Code mit lokalen Rechten ausführen und sich so eine weitreichende Kontrolle über ein fremdes System verschaffen kann. Auch im WebKit steckt ein Fehler, worüber Angreifer per HTML-Seite beliebigen Programmcode ausführen können.

Stellenmarkt
  1. CCV GmbH, Hamburg
  2. Emsland Group, Emlichheim

In der Kompressionsroutine Bom sorgt ein Sicherheitsloch dafür, dass Angreifer über eine präparierte ZIP-Datei beliebigen Programmcode starten können. Ebenfalls zu einer Codeausführung führen Fehler in DHCP, Fetchmail, ImageIO sowie Image RAW. Letztere beiden Komponenten übernehmen die Anzeige von Bilderdaten und die betreffenden Sicherheitslücken stecken nur in MacOS X 10.4.7. Ein weiteres Sicherheitsloch in AppKit und ImageIO führt bei der Darstellung von präparierten TIFF-Dateien zum Programmabsturz, der sich auch zum Starten von Programmcode ausnutzen lässt. Nur für MacOS X 10.4.7 wurde außerdem die Bluetooth-Sicherheit durch einen längeren Passkey erhöht.

Vier Sicherheitslücken stecken im AFP-Server und eine davon kann zu einem Absturz führen sowie das Ausführen schadhaften Programmcode ermöglichen. Ein zweites Sicherheitsleck erlaubt einem Angreifer einen unberechtigten Zugriff auf Dateien, während ein dritter Fehler im AFP-Server eine Rechteausweitung erlaubt. Das vierte Sicherheitsloch kann ebenfalls zu einem Absturz führen und für eine Denial-of-Service-Attacke missbraucht werden.

Lokal angemeldete Nutzer können über zwei Sicherheitslücken in dyld entweder die eigenen Rechte ausweiten oder andere Applikationen negativ beeinflussen. Ebenfalls nur angemeldete Nutzer können die Dateirechte über einen Fehler in gunzip verändern, auch wenn ihnen dazu die erforderliche Berechtigung fehlt. Ein zweiter gunzip-Fehler erlaubt es einem Angreifer Programmcode einzuschleusen. Ein Sicherheitsloch in OpenSSH von MacOS X 10.4.7 verursacht ferner einen Denial-of-Service-Angriff und telnet enthüllt Umgebungsvariablen, die eigentlich nicht einsehbar sein sollten.

Apple bietet das Sicherheits-Update für MacOS X 10.3.9 sowie 10.4.7 in Versionen für PowerPC-Systeme und Intel-Macs zum Download an. Neben der Desktop-Ausführung steht auch die Server-Variante für MacOS X 10.3.9 bereit und die Updates können über die Software-Aktualisierung des Betriebssystems eingespielt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 279,99€ (Bestpreis)
  2. (u. a. Galaxy S21 mit Galaxy Buds Pro In-Ears und Galaxy Smart Tag für 849€)
  3. 189,99€ (Bestpreis)

jojojij2 02. Aug 2006

waschmittel auf dem computer??


Folgen Sie uns
       


Sony Playstation 5 - Fazit

Im Video zum Test der Playstation 5 zeigt Golem.de die Hardware und das Dashboard der Konsole von Sony.

Sony Playstation 5 - Fazit Video aufrufen
Moodle: Was den Lernraum Berlin in die Knie zwang
Moodle
Was den Lernraum Berlin in die Knie zwang

Eine übermäßig große Datenbank und schlecht optimierte Abfragen in Moodle führten zu Ausfällen in der Online-Lernsoftware.
Eine Recherche von Hanno Böck


    USA: Die falsche Toleranz im Silicon Valley muss endlich aufhören
    USA
    Die falsche Toleranz im Silicon Valley muss endlich aufhören

    Github wirft einen Juden raus, der vor Nazis warnt, weil das den Betrieb stört. Das ist moralisch verkommen - wie üblich im Silicon Valley.
    Ein IMHO von Sebastian Grüner

    1. CES 2021 So geht eine Messe in Pandemie-Zeiten
    2. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona
    3. CD Projekt Red Crunch trifft auf Cyberpunk 2077

    20 Jahre Wikipedia: Verlässliches Wissen rettet noch nicht die Welt
    20 Jahre Wikipedia
    Verlässliches Wissen rettet noch nicht die Welt

    Noch nie war es so einfach, per Wikipedia an enzyklopädisches Wissen zu gelangen. Doch scheint es viele Menschen gar nicht mehr zu interessieren.
    Ein IMHO von Friedhelm Greis

    1. Desktop-Version Wikipedia überarbeitet "klobiges" Design

      •  /