Schwere Sicherheitslücke im Finder von MacOS X

Auch Sicherheitsloch im Application Enhancer gefunden

Im Rahmen des "Month of Apple Bugs" wurde eine Sicherheitslücke im Finder von MacOS X entdeckt. Das Öffnen einer manipulierten DMG-Image-Datei genügt, damit Angreifer eine Denial-of-Service-Attacke vornehmen oder womöglich sogar schadhaften Programmcode ausführen können. Zudem wurde eine Sicherheitslücke im Application Enhancer gefunden, der für Workaround-Patches für die gefundenen Sicherheitslücken benötigt wird.

Artikel veröffentlicht am ,

Der Finder kommt aus dem Tritt, wenn ein DMG-Image-Datei mit einem Volume-Namen versehen ist, der länger als 255 Bytes ist. Dann gerät der Speicher durcheinander, es ist ein Denial-of-Service-Angriff möglich und es soll sich beliebiger Programmcode ausführen lassen.

Stellenmarkt
  1. Informatiker / Elektrotechniker / Naturwissenschaftler (m/w/d) Softwarevalidierung und Softwaretesting
    RICHARD WOLF GMBH, Knittlingen (Raum Pforzheim / Karlsruhe)
  2. Chef-Architekt (m/w/d) für Software-Produktneuentwicklu- ng in der Sensortechnik
    mi.ro Personalberatung, Stuttgart
Detailsuche

Der Fehler wurde im Finder 10.4.6 auf MacOS X 10.4.8 bestätigt; möglicherweise sind auch frühere Finder-Versionen von der Sicherheitslücke betroffen. Bisher hat Apple keinen Patch veröffentlicht, um das Sicherheitsloch zu schließen. So bleibt als Abhilfe nur, bis zum Erscheinen eines Patches beim Öffnen von DMG-Dateien mit dem Finder entsprechende Vorsicht walten zu lassen.

Der Fehler wurde im Rahmen des "Month of Apple Bugs" (MOAB) entdeckt. Damit soll im Laufe des Januar 2007 gezeigt werden, dass auch MacOS X nicht per se vor Sicherheitslücken gefeit ist. Dazu wird im laufenden Monat auf nicht geschlossene Sicherheitslücken im Betriebssystem sowie in Applikationen hingewiesen.

Eine pikante Randentdeckung gab es gestern: Der für Workaround-Patches benötigte Application Enhancer weist ein Sicherheitsleck auf, mit dem sich lokale Rechte ausweiten lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
Workaround-Patch für QuickTime-Sicherheitsloch
Sicherheitslücke im VLC Media Player (Update)
artikel-bild
Retrofit Kit
Alte MacOS-Versionen für APFS fit machen
Meistgelesen
artikel-bild
Obi-Wan Kenobi Episode 4 bis 6
Darth Vader und das Imperium der Schwachköpfe
artikel-bild
Außerirdisches Leben
Warum wir vielleicht allein im Universum sind
artikel-bild
Akkutechnik
CATLs Qilin-Batterie schlägt Teslas 4680-Akku deutlich
Kommentarübersicht
Gähn
k2r 11. Jan 2007

Nachdem ich vor einiger Zeit von heise zu golem gewechselt war, weil ich das Gefühl...

Re: Nachdem "Computer" aus dem Firmennamen...
ManiacBS 11. Jan 2007

Schaut euch alleine die Aktie an und wie die Analysten die Zukunft von Apple...

Re: "schwere" Lücke. Ja klar.
floyd25 10. Jan 2007

Dem kann ich zustimmen Floyd25 / Jens25

Re: Image ist nicht unbedingt eine Bilddatei
ip (Golem.de) 10. Jan 2007

danke für den Hinweis. Der Fehler im Artikel wurde bereits korrigiert.

Aktuell auf der Startseite von Golem.de
Obi-Wan Kenobi Episode 4 bis 6
Darth Vader und das Imperium der Schwachköpfe

Dämliche Stormtrooper sind in Obi-Wan Kenobi noch das geringste Problem. Zum Ende hin ist die Star-Wars-Serie vor allem eines: belanglos. Achtung, Spoiler!
Eine Rezension von Oliver Nickel

Obi-Wan Kenobi Episode 4 bis 6: Darth Vader und das Imperium der Schwachköpfe
Artikel
  1. BVG: Telefónica will auch 5G in der U-Bahn bieten
    BVG
    Telefónica will auch 5G in der U-Bahn bieten

    Beim LTE-Ausbau für die anderen Netzbetreiber geht es dagegen weiter nur langsam voran. Telefónica nennt einige Gründe dafür.

  2. Akkutechnik: CATLs Qilin-Batterie schlägt Teslas 4680-Akku deutlich
    Akkutechnik
    CATLs Qilin-Batterie schlägt Teslas 4680-Akku deutlich

    Der größte Akku-Hersteller der Welt hat seine Akkupacks weiter optimiert und stellt damit Teslas alte 4680-Technik in den Schatten.
    Eine Analyse von Frank Wunderlich-Pfeiffer

  3. Teamarbeitstool: Zendesk für 10,2 Milliarden US-Dollar verkauft
    Teamarbeitstool
    Zendesk für 10,2 Milliarden US-Dollar verkauft

    Zendesk wird von Finanzinvestoren gekauft. Noch im Februar 2022 wurde ein Angebot mit einem Volumen von rund 17 Milliarden US-Dollar abgelehnt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung SSD (PS5-komp.) günstig wie nie: 109,24€ (1TB) / 234,45€ (2TB) • LG 31,5" UWQHD 165 Hz günstig wie nie: 327,72€ • PS5-Controller: 57,13€ • Xbox Elite Controller günstig wie nie: 126,04€ • 16.000 Artikel günstiger bei Media Markt • MindStar (Palit RTX 3070 Ti 679€) [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /