• IT-Karriere:
  • Services:

Apple beseitigt gefährliches DNS-Sicherheitsleck

Sicherheitslücken in zwölf Komponenten von MacOS X

Mit einem Patch beseitigt Apple das DNS-Sicherheitsloch im BIND-Server und schließt Sicherheitslücken in elf weiteren Komponenten von MacOS X. Sieben davon können zum Ausführen von Schadcode missbraucht werden und werden als entsprechend gefährlich eingestuft.

Artikel veröffentlicht am ,

Anfang Juli 2008 wurde das DNS-Sicherheitsloch gemeldet und vor rund einer Woche Schadcode gesichtet, der das Sicherheitsleck ausnutzt, um etwa Nutzer auf fremde Webseiten zu lotsen. Nun hat Apple mit einem Patch reagiert, der den Fehler im BIND-Server von MacOS X 10.4.11 sowie 10.5.4 korrigiert. Standardmäßig ist dieser nicht aktiviert.

Stellenmarkt
  1. ARRI Media GmbH, München
  2. akquinet AG, Hamburg

Im Betriebssystemkernel befindet sich ein gefährliches Sicherheitsleck, das sich mit langen Dateinamen ausnutzen lässt. Dann kann ein Angreifer entweder gezielt einen Absturz hervorrufen oder aber auch beliebigen Programmcode ausführen. Mit dem nun veröffentlichten Patch soll der Fehler beseitigt werden.

Gleich zwei gefährliche Sicherheitslecks beseitigt der Patch in der CoreGraphics-Komponente von MacOS X, die beide zum Ausführen schadhaften Codes missbraucht werden können. Ein Opfer muss lediglich dazu gebracht werden, eine manipulierte PDF-Datei oder eine entsprechend präparierte Webseite anzuzeigen.

Mit einer manipulierten Datei im Format von Microsofts Officepaket lässt sich ebenfalls Schadcode ausführen oder ein Programmabsturz provozieren. Schuld daran sind gleich mehrere Sicherheitslöcher in QuickLook, die nun mit dem Patch beseitigt sein sollen. Ein Sicherheitsloch in OpenSSL kann ebenfalls zum Ausführen von Schadcode missbraucht werden. Dazu ist ein manipuliertes Datenpaket erforderlich, das im harmloseren Fall zum Programmabsturz führt.

Ein weiteres Sicherheitsleck in der Open-Scripting-Architektur von MacOS X gestattet einem lokalen Nutzer die Ausweitung von Benutzerrechten und somit auch die Ausführung von Schadcode. Dazu muss der Angreifer direkten Zugriff auf das betreffende System besitzen. Gleiches gilt für das Sicherheitsloch im Disk Utility in MacOS X 10.4.11. Läuft das Reparaturrechte-Werkzeug, kann ein angemeldeter Nutzer über emacs Befehle mit Systemrechten ausführen.

Zudem beseitigt der Patch einen Fehler in der Data-Detector-Komponente von MacOS X 10.5.4, der zum Programmabsturz führt. Das gleiche Angriffsszenario findet sich in OpenLDAP, das mittels spezieller LDAP-Nachrichten ausgenutzt werden kann. Ein Fehler in rsync gestattet die Einsicht oder das Überschreiben von Dateien und soll nun korrigiert sein. Gleich eine Reihe von Sicherheitslecks und Fehler werden mit dem Patch in der PHP-Komponente von MacOS X 10.5.4 beseitigt.

Der Sicherheitspatch für MacOS X 10.4.11 sowie 10.5.4 steht ab sofort zum Download bereit und gilt auch für die Serverausführungen des Betriebssystems. Die Patches werden auch über die Updatefunktion des Betriebssystems verteilt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 57,99€
  2. 45,99€ statt 59,99€ | Special Edition für 53,99€ und Ultimate Edition für 63,99€
  3. 39,99€ statt 59,99€ | Deluxe Edition für 52,99€ und Super Deluxe Edition für 79,99€

SzeneKenner 05. Aug 2008

Desewgen entscheinden sich mehr und mehr für das sichere Vista: http://www.zdnet.de/news...

Deppen-Hasser... 05. Aug 2008

Hättest du dir den Teil in der Klammer gespart würde dein Satz nicht das genaue...

TheHeitmann 03. Aug 2008

Yo ZeroBrain! Was auch Du anscheinend noch immer nicht in Deine Hohlpfanne von Schädel...

anton3 03. Aug 2008

http://blog.ncircle.com/blogs/sync/archives/2008/08/apple_dns_patch_fails_to_rando.html...

Deppen-Hasser... 02. Aug 2008

Richtig, da wo sowas produktiv eingesetzt wird nimmt kein normaler Mensch einen Mac...


Folgen Sie uns
       


Smartphone-Kameravergleich 2019

Der Herbst ist Oberklasse-Smartphone-Zeit, und wir haben uns im Test die Kameras der aktuellen Geräte angeschaut. Im Vergleich zeigt sich, dass die Spitzengruppe bei der Bildqualität weiter zusammengerückt ist, es aber immer noch Geräte gibt, die sich durch bestimmte Funktionen hervortun.

Smartphone-Kameravergleich 2019 Video aufrufen
Tesla-Fabrik in Brandenburg: Remote, Germany
Tesla-Fabrik in Brandenburg
Remote, Germany

Elon Musk steht auf Berlin, doch industrielle Großprojekte sind nicht die Stärke der Region. Ausgerechnet in die Nähe der ewigen Flughafen-Baustelle BER will Tesla seine Gigafactory 4 platzieren. Was spricht für und gegen den Standort Berlin/Brandenburg?
Eine Analyse von Dirk Kunde

  1. Gigafactory Tesla soll 4 Milliarden Euro in Brandenburg investieren
  2. 7.000 Arbeitsplätze Tesla will Gigafactory bei Berlin bauen
  3. Irreführende Angaben Wettbewerbszentrale verklagt Tesla wegen Autopilot-Werbung

Google Stadia im Test: Stadia ist (noch) kein Spiele-PC- oder Konsolenkiller
Google Stadia im Test
Stadia ist (noch) kein Spiele-PC- oder Konsolenkiller

Tschüss, Downloads, Datenträger und Installationsroutinen: Mit Google Stadia können wir einfach losspielen. Beim Test hat das unter Echtweltbedingungen schon ziemlich gut geklappt - trotz der teils enormen Datenmengen und vielen fehlenden Funktionen.
Von Peter Steinlechner

  1. Google Stadia Assassin's Creed Odyssey bis Samurai Showdown zum Start
  2. Nest Wifi Googles Mesh-Router priorisiert Stadia
  3. Spielestreaming Google stiftet Verwirrung über Start von Stadia

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Disney+ Disney korrigiert falsches Seitenverhältnis bei den Simpsons
  2. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  3. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte

    •  /