Umfangreiches Sicherheits-Update für MacOS X

Die oben genannten Sicherheitslücken finden sich nur in MacOS X 10.4.11 und sollen mit dem veröffentlichten Patch korrigiert werden. MacOS X 10.5 und höher ist davon nach Apple-Angaben nicht betroffen. Die folgenden Sicherheitslücken hingegen finden sich nur in MacOS X ab der Version 10.5 und sollen ebenfalls mit dem Patch beseitigt werden:

Stellenmarkt
  1. Senior Android Entwickler (m/w/d)
    intive GmbH, München, Regensburg
  2. IT Application Manager Microsoft Dynamics (m/w/d)
    Hertz Flavors GmbH & Co. KG, Reinbek
Detailsuche

In der Komponente CFNetwork steckt eine Sicherheitslücke, worüber Angreifer Schadcode auf einem fremden Rechner ablegen können, sofern sie das Opfer dazu verleiten, eine entsprechend manipulierte Webseite aufzurufen. Dann beginnt der automatische Download und der Nutzer bemerkt nicht, dass Daten auf seinen Rechner geladen werden. Für das gezielte Hervorrufen von Programmabstürzen oder das Ausführen von Schadcode lässt sich eine CUPS-Sicherheitslücke missbrauchen, wenn SNMP aktiviert ist.

Ein Sicherheitsloch in den Launch Services sorgt ferner dafür, dass sich ausführbare E-Mail-Anhänge ohne Warnhinweis ausführen lassen. Über die Software-Aktualisierung des Betriebssystems lässt sich eine Man-in-the-Middle-Attacke vornehmen, um schadhafte Befehle über eine manipulierte Distribution-Definitions-Datei auszuführen, sobald das System nach neuen Updates sucht.

Außerdem kann der Spin-Tracer zum Ausführen von Schadcode mit Systemrechten missbraucht werden, wenn der Angreifer lokal am System angemeldet ist. In der Schnellvorschau von MacOS X stecken gleich zwei Sicherheitslücken: Bei der Voransicht von HTML-Dateien lassen sich vertrauliche Informationen einsehen, während die Vorschau von Videodaten dazu missbraucht werden kann, spezielle URLs aufzurufen, die in der Videodatei stecken. Dieser Fehler kann aber auch beim Erzeugen eines Icons für eine Videodatei auftreten. Ferner beseitigt das Sicherheits-Update mehrere Sicherheitslücken in Ruby Rails, die zum Ausspähen vertraulicher Daten genutzt werden können.

Die nachfolgenden Sicherheitslöcher stecken sowohl in MacOS X 10.4.11 als auch in MacOS X 10.5.1: Im Internet Printing Protocol (IPP) befindet sich ein Sicherheitsloch, über das ein Angreifer einerseits einen Programmabsturz verursachen und andererseits willkürlichen Code ausführen kann. Die gleiche Angriffsfläche liefert ein Fehler in der Python-Implementierung bei der Verarbeitung von Bilddateien. Die Ausführung von Code ist auch über ein Sicherheitsleck im Perl Regular Expression Compiler machbar, indem innerhalb eines regulären Ausdrucks von Byte- zu Unicode-Zeichen gewechselt wird.

Ein weiteres Sicherheitsloch in Safari kann für den unberechtigten Zugriff auf vertrauliche Informationen verwendet werden, indem eine präparierte Webseite besucht wird. Über eine präparierte HTML-Datei lassen sich Informationen ausspähen oder der Fehler kann für Cross-Site-Scripting genutzt werden. In den Ruby-Bibliotheken sorgen Fehler in der SSL-Überprüfung für eine Man-in-the-Middle-Attacke, die mit dem Patch gleichfalls korrigiert werden.

Gleich mehrere Sicherheitslücken werden in Samba geschlossen, die unter anderem zum Ausführen von Schadcode missbraucht werden können. Dieses Szenario tritt auch im Shockwave Player auf, der ebenfalls aktualisiert wird und in der Version 10.1.1.016 enthalten ist. Mit dem aktuellen Patch liefert Apple auch ein neues Flash-Plug-In aus, das bereits Bestandteil von Opera 9.24 und seit Oktober 2007 verfügbar ist.

Zudem beseitigt der aktuelle Patch eine Sicherheitslücke in der Mail-Applikation, so dass nicht verschlüsselte Authentifizierungen vorgenommen werden, obwohl MD5 aktiviert wurde. Unklarheit herrscht allerdings darüber, in welchen Versionen von MacOS X der Fehler steckt. Apple gibt an, dass der Fehler in MacOS X 10.4.11 sowie MacOS X 10.5.1 enthalten ist, spricht dann aber widersprüchlich davon, dass MacOS X ab der Version 10.5 nicht betroffen ist.

Der Sicherheits-Patch für MacOS X 10.4.11 sowie MacOS X 10.5.1 steht ab sofort zum Download bereit und wird außerdem über die Update-Funktion des Betriebssystems verteilt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Umfangreiches Sicherheits-Update für MacOS X
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Klimaforscher
Das Konzept der Klimaneutralität ist eine gefährliche Falle

Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
Von James Dyke, Robert Watson und Wolfgang Knorr

Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
Artikel
  1. Elektroauto: Xiaomis Autoproduktion startet Anfang 2024
    Elektroauto
    Xiaomis Autoproduktion startet Anfang 2024

    2024 sollen erste Elektrofahrzeuge von Xiaomi auf den Markt kommen - also etwas später als zunächst gedacht.

  2. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

  3. Werbeversprechen kassiert: Teslas Solarschindeln sind doch nicht so stabil
    Werbeversprechen kassiert
    Teslas Solarschindeln sind doch nicht so stabil

    Tesla hat die Website zu seinen Solarschindeln aktualisiert. Die Behauptung, dass diese dreimal stärker als Standardschindeln sind, wurde fallengelassen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /