Abo
  • Services:

Apple beseitigt gefährliches DNS-Sicherheitsleck

Sicherheitslücken in zwölf Komponenten von MacOS X

Mit einem Patch beseitigt Apple das DNS-Sicherheitsloch im BIND-Server und schließt Sicherheitslücken in elf weiteren Komponenten von MacOS X. Sieben davon können zum Ausführen von Schadcode missbraucht werden und werden als entsprechend gefährlich eingestuft.

Artikel veröffentlicht am ,

Anfang Juli 2008 wurde das DNS-Sicherheitsloch gemeldet und vor rund einer Woche Schadcode gesichtet, der das Sicherheitsleck ausnutzt, um etwa Nutzer auf fremde Webseiten zu lotsen. Nun hat Apple mit einem Patch reagiert, der den Fehler im BIND-Server von MacOS X 10.4.11 sowie 10.5.4 korrigiert. Standardmäßig ist dieser nicht aktiviert.

Stellenmarkt
  1. ALBA Nordbaden GmbH, Karlsruhe
  2. soft-nrg Development GmbH', Dornach

Im Betriebssystemkernel befindet sich ein gefährliches Sicherheitsleck, das sich mit langen Dateinamen ausnutzen lässt. Dann kann ein Angreifer entweder gezielt einen Absturz hervorrufen oder aber auch beliebigen Programmcode ausführen. Mit dem nun veröffentlichten Patch soll der Fehler beseitigt werden.

Gleich zwei gefährliche Sicherheitslecks beseitigt der Patch in der CoreGraphics-Komponente von MacOS X, die beide zum Ausführen schadhaften Codes missbraucht werden können. Ein Opfer muss lediglich dazu gebracht werden, eine manipulierte PDF-Datei oder eine entsprechend präparierte Webseite anzuzeigen.

Mit einer manipulierten Datei im Format von Microsofts Officepaket lässt sich ebenfalls Schadcode ausführen oder ein Programmabsturz provozieren. Schuld daran sind gleich mehrere Sicherheitslöcher in QuickLook, die nun mit dem Patch beseitigt sein sollen. Ein Sicherheitsloch in OpenSSL kann ebenfalls zum Ausführen von Schadcode missbraucht werden. Dazu ist ein manipuliertes Datenpaket erforderlich, das im harmloseren Fall zum Programmabsturz führt.

Ein weiteres Sicherheitsleck in der Open-Scripting-Architektur von MacOS X gestattet einem lokalen Nutzer die Ausweitung von Benutzerrechten und somit auch die Ausführung von Schadcode. Dazu muss der Angreifer direkten Zugriff auf das betreffende System besitzen. Gleiches gilt für das Sicherheitsloch im Disk Utility in MacOS X 10.4.11. Läuft das Reparaturrechte-Werkzeug, kann ein angemeldeter Nutzer über emacs Befehle mit Systemrechten ausführen.

Zudem beseitigt der Patch einen Fehler in der Data-Detector-Komponente von MacOS X 10.5.4, der zum Programmabsturz führt. Das gleiche Angriffsszenario findet sich in OpenLDAP, das mittels spezieller LDAP-Nachrichten ausgenutzt werden kann. Ein Fehler in rsync gestattet die Einsicht oder das Überschreiben von Dateien und soll nun korrigiert sein. Gleich eine Reihe von Sicherheitslecks und Fehler werden mit dem Patch in der PHP-Komponente von MacOS X 10.5.4 beseitigt.

Der Sicherheitspatch für MacOS X 10.4.11 sowie 10.5.4 steht ab sofort zum Download bereit und gilt auch für die Serverausführungen des Betriebssystems. Die Patches werden auch über die Updatefunktion des Betriebssystems verteilt.



Anzeige
Hardware-Angebote
  1. ab 399€

SzeneKenner 05. Aug 2008

Desewgen entscheinden sich mehr und mehr für das sichere Vista: http://www.zdnet.de/news...

Deppen-Hasser... 05. Aug 2008

Hättest du dir den Teil in der Klammer gespart würde dein Satz nicht das genaue...

TheHeitmann 03. Aug 2008

Yo ZeroBrain! Was auch Du anscheinend noch immer nicht in Deine Hohlpfanne von Schädel...

anton3 03. Aug 2008

http://blog.ncircle.com/blogs/sync/archives/2008/08/apple_dns_patch_fails_to_rando.html...

Deppen-Hasser... 02. Aug 2008

Richtig, da wo sowas produktiv eingesetzt wird nimmt kein normaler Mensch einen Mac...


Folgen Sie uns
       


Amazons Echo Dot (2018) - Test

Echo Dot steht eigentlich für muffigen Klang. Das ändert sich grundlegend mit dem neuen Echo Dot. Amazons neuer Alexa-Lautsprecher ist damit durchaus zum Musikhören geeignet. Für einen 60 Euro teuren Lautsprecher bietet der neue Echo Dot eine gute Klangqualität.

Amazons Echo Dot (2018) - Test Video aufrufen
Augmented Reality: Das AR-Fabrikgelände aus dem Smartphone
Augmented Reality
Das AR-Fabrikgelände aus dem Smartphone

Derzeit ist viel von einer Augmented Reality Cloud die Rede. Golem.de hat mit dem Berliner Startup Visualix über den Stand der Technik und künftige Projekte für Unternehmenskunden gesprochen - und darüber, was die Neuerungen für Pokémon Go bedeuten könnten.
Ein Interview von Achim Fehrenbach

  1. Jarvish Motorradhelm bringt Alexa in den Kopf
  2. Patentantrag Apple plant Augmented-Reality in der Windschutzscheibe
  3. Magic Leap Lumin OS Erste Bilder des Betriebssystems für Augmented Reality

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski


      •  /