Abo
  • Services:

Schwere Sicherheitslücke im Finder von MacOS X

Auch Sicherheitsloch im Application Enhancer gefunden

Im Rahmen des "Month of Apple Bugs" wurde eine Sicherheitslücke im Finder von MacOS X entdeckt. Das Öffnen einer manipulierten DMG-Image-Datei genügt, damit Angreifer eine Denial-of-Service-Attacke vornehmen oder womöglich sogar schadhaften Programmcode ausführen können. Zudem wurde eine Sicherheitslücke im Application Enhancer gefunden, der für Workaround-Patches für die gefundenen Sicherheitslücken benötigt wird.

Artikel veröffentlicht am ,

Der Finder kommt aus dem Tritt, wenn ein DMG-Image-Datei mit einem Volume-Namen versehen ist, der länger als 255 Bytes ist. Dann gerät der Speicher durcheinander, es ist ein Denial-of-Service-Angriff möglich und es soll sich beliebiger Programmcode ausführen lassen.

Stellenmarkt
  1. BSH Hausgeräte GmbH, Dillingen
  2. Hochschule Albstadt-Sigmaringen, Albstadt

Der Fehler wurde im Finder 10.4.6 auf MacOS X 10.4.8 bestätigt; möglicherweise sind auch frühere Finder-Versionen von der Sicherheitslücke betroffen. Bisher hat Apple keinen Patch veröffentlicht, um das Sicherheitsloch zu schließen. So bleibt als Abhilfe nur, bis zum Erscheinen eines Patches beim Öffnen von DMG-Dateien mit dem Finder entsprechende Vorsicht walten zu lassen.

Der Fehler wurde im Rahmen des "Month of Apple Bugs" (MOAB) entdeckt. Damit soll im Laufe des Januar 2007 gezeigt werden, dass auch MacOS X nicht per se vor Sicherheitslücken gefeit ist. Dazu wird im laufenden Monat auf nicht geschlossene Sicherheitslücken im Betriebssystem sowie in Applikationen hingewiesen.

Eine pikante Randentdeckung gab es gestern: Der für Workaround-Patches benötigte Application Enhancer weist ein Sicherheitsleck auf, mit dem sich lokale Rechte ausweiten lassen.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. bei Alternate.de
  3. 449€

k2r 11. Jan 2007

Nachdem ich vor einiger Zeit von heise zu golem gewechselt war, weil ich das Gefühl...

ManiacBS 11. Jan 2007

Schaut euch alleine die Aktie an und wie die Analysten die Zukunft von Apple...

floyd25 10. Jan 2007

Dem kann ich zustimmen Floyd25 / Jens25

ip (Golem.de) 10. Jan 2007

danke für den Hinweis. Der Fehler im Artikel wurde bereits korrigiert.


Folgen Sie uns
       


Always Connected PCs angesehen (Windows 10 on ARM)

Mit einer neuen Plattform will Microsoft noch einmal ARM-basierte Geräte als Notebook-Alternative auf den Markt bringen. Dieses Mal können auch zahlreiche alte Programme ausgeführt werden.

Always Connected PCs angesehen (Windows 10 on ARM) Video aufrufen
HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Soziales Netzwerk Facebook will in Deutschland Vertrauen wiedergewinnen
  2. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern
  3. Vor Anhörungen Zuckerberg nimmt alle Schuld auf sich

    •  /