• IT-Karriere:
  • Services:

Apple beseitigt gefährliches DNS-Sicherheitsleck

Sicherheitslücken in zwölf Komponenten von MacOS X

Mit einem Patch beseitigt Apple das DNS-Sicherheitsloch im BIND-Server und schließt Sicherheitslücken in elf weiteren Komponenten von MacOS X. Sieben davon können zum Ausführen von Schadcode missbraucht werden und werden als entsprechend gefährlich eingestuft.

Artikel veröffentlicht am ,

Anfang Juli 2008 wurde das DNS-Sicherheitsloch gemeldet und vor rund einer Woche Schadcode gesichtet, der das Sicherheitsleck ausnutzt, um etwa Nutzer auf fremde Webseiten zu lotsen. Nun hat Apple mit einem Patch reagiert, der den Fehler im BIND-Server von MacOS X 10.4.11 sowie 10.5.4 korrigiert. Standardmäßig ist dieser nicht aktiviert.

Stellenmarkt
  1. KfW Bankengruppe, Frankfurt am Main
  2. TEAM GmbH, Paderborn

Im Betriebssystemkernel befindet sich ein gefährliches Sicherheitsleck, das sich mit langen Dateinamen ausnutzen lässt. Dann kann ein Angreifer entweder gezielt einen Absturz hervorrufen oder aber auch beliebigen Programmcode ausführen. Mit dem nun veröffentlichten Patch soll der Fehler beseitigt werden.

Gleich zwei gefährliche Sicherheitslecks beseitigt der Patch in der CoreGraphics-Komponente von MacOS X, die beide zum Ausführen schadhaften Codes missbraucht werden können. Ein Opfer muss lediglich dazu gebracht werden, eine manipulierte PDF-Datei oder eine entsprechend präparierte Webseite anzuzeigen.

Mit einer manipulierten Datei im Format von Microsofts Officepaket lässt sich ebenfalls Schadcode ausführen oder ein Programmabsturz provozieren. Schuld daran sind gleich mehrere Sicherheitslöcher in QuickLook, die nun mit dem Patch beseitigt sein sollen. Ein Sicherheitsloch in OpenSSL kann ebenfalls zum Ausführen von Schadcode missbraucht werden. Dazu ist ein manipuliertes Datenpaket erforderlich, das im harmloseren Fall zum Programmabsturz führt.

Ein weiteres Sicherheitsleck in der Open-Scripting-Architektur von MacOS X gestattet einem lokalen Nutzer die Ausweitung von Benutzerrechten und somit auch die Ausführung von Schadcode. Dazu muss der Angreifer direkten Zugriff auf das betreffende System besitzen. Gleiches gilt für das Sicherheitsloch im Disk Utility in MacOS X 10.4.11. Läuft das Reparaturrechte-Werkzeug, kann ein angemeldeter Nutzer über emacs Befehle mit Systemrechten ausführen.

Zudem beseitigt der Patch einen Fehler in der Data-Detector-Komponente von MacOS X 10.5.4, der zum Programmabsturz führt. Das gleiche Angriffsszenario findet sich in OpenLDAP, das mittels spezieller LDAP-Nachrichten ausgenutzt werden kann. Ein Fehler in rsync gestattet die Einsicht oder das Überschreiben von Dateien und soll nun korrigiert sein. Gleich eine Reihe von Sicherheitslecks und Fehler werden mit dem Patch in der PHP-Komponente von MacOS X 10.5.4 beseitigt.

Der Sicherheitspatch für MacOS X 10.4.11 sowie 10.5.4 steht ab sofort zum Download bereit und gilt auch für die Serverausführungen des Betriebssystems. Die Patches werden auch über die Updatefunktion des Betriebssystems verteilt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

SzeneKenner 05. Aug 2008

Desewgen entscheinden sich mehr und mehr für das sichere Vista: http://www.zdnet.de/news...

Deppen-Hasser... 05. Aug 2008

Hättest du dir den Teil in der Klammer gespart würde dein Satz nicht das genaue...

TheHeitmann 03. Aug 2008

Yo ZeroBrain! Was auch Du anscheinend noch immer nicht in Deine Hohlpfanne von Schädel...

anton3 03. Aug 2008

http://blog.ncircle.com/blogs/sync/archives/2008/08/apple_dns_patch_fails_to_rando.html...

Deppen-Hasser... 02. Aug 2008

Richtig, da wo sowas produktiv eingesetzt wird nimmt kein normaler Mensch einen Mac...


Folgen Sie uns
       


Mini-PCs von Asus, Apple und Zotac im Test - Fazit

Wir haben uns den Mac Mini und zwei Alternativen von Asus und Zotac angesehen. Es ist interessant, wie leistungsfähig die Kontrahenten sind.

Mini-PCs von Asus, Apple und Zotac im Test - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /