Umfangreiches Sicherheitsupdate für MacOS X

Patch beseitigt fünf als gefährlich eingestufte Sicherheitslöcher

Apple hat mit dem Security Update 2008-007 ein umfangreiches Patchpaket für MacOS X veröffentlicht, mit dem zahlreiche Sicherheitslecks geschlossen werden. Fünf Sicherheitslücken gelten als gefährlich, weil sie zum Ausführen von Schadcode missbraucht werden können. Die Updates gibt es für MacOS X 10.4.11 sowie 10.5.5.

Artikel veröffentlicht am ,

Eine Sicherheitslücke befindet sich in der Farbprofilkomponente ColorSync. Der Fehler kann zum Ausführen von Schadcode missbraucht werden, indem ein Angreifer das Opfer dazu verleitet, eine manipulierte Bilddatei mit einem eingebetteten ICC-Profil zu öffnen. Alternativ dazu kann der Fehler auch nur zu einem Programmabsturz führen.

Stellenmarkt
  1. IT Business Partner (m/w/d)
    Energiedienst Holding AG, Rheinfelden (Baden)
  2. IT CustomerCare First Level Agent *
    DAW SE, Ober-Ramstadt bei Darmstadt
Detailsuche

Der von HP stammende HPGL-Filter für Cups weist einen Fehler auf, mit dem sich Schadcode aus der Ferne ausführen lässt, wenn Drucker-Sharing aktiviert ist. Ist die Sharing-Funktion deaktiviert, kann der Fehler von einem lokal angemeldeten Nutzer noch zur Rechteausweitung verwendet werden.

In der libxslt-Bibliothek steckt ein Programmfehler, der sich über eine speziell aufgemachte HTML-Seite ausnutzen lässt. Dann kann ein Angreifer entweder einen Programmabsturz provozieren oder auch schadhaften Programmcode ausführen. Die Komponente PSNormalizer weist ein gefährliches Sicherheitsleck auf, worüber Angreifer mittels präparierter PostScript-Datei im schlimmsten Fall beliebigen Programmcode ausführen können. Eine Rechteausweitung ist durch einen Programmfehler in den Netzwerkfunktionen sowie im Script Editor von MacOS X möglich.

Die oben genannten Sicherheitslecks stecken sowohl in MacOS X 10.4.11 als auch in 10.5.5, während die nachfolgenden Programmfehler nur in MacOS X 10.5.5 zu finden sind. Die QuickLook-Komponente verarbeitet Excel-Dokumente falsch, so dass das Öffnen oder das Herunterladen einer präparierten Datei für das Ausführen von Schadcode genutzt werden kann.

Ein Programmfehler im Finder macht den Mac-Desktop unbrauchbar, weil die Anzeige des Programmicons mit einer speziell bearbeiteten Programmdatei durcheinandergebracht werden kann. Ohne Entfernung der betreffenden Datei wäre der Finder nicht mehr nutzbar. Das Update lagert diese Funktion in einen separaten Prozess, so dass es nicht mehr zu diesem Fehler kommt. In Postfix erlaubt ein Fehler einem lokal angemeldeten Nutzer unter bestimmten Umständen den Versand einer E-Mail an andere lokal angemeldete Anwender. Auch dieser Fehler soll mit dem Update korrigiert werden.

Zahlreiche bestehende Zertifikate wurden aktualisiert und neue hinzugefügt. Außerdem liegt eine aktualisierte Version der Komponente launchd bei, die einen kleineren Programmfehler beseitigt. Auch rlogin sowie Single Sign-On wurden aktualisiert, um kleinere Programmfehler zu korrigieren.

Dem Sicherheitspatch liegt Apache in der neuen Version 2.2.9 bei, die mehrere Sicherheitslecks der Vorversion beseitigt. Gleiches gilt für den MySQL Server, der nun in der Version 5.0.67 beiliegt, sowie für PHP, das in der Version 4.4.9 integriert wurde. Auch neue Versionen von Tomcat und vim sind nun Bestandteil von MacOS X. Zudem wurde der Virenscanner ClamAV in der Version 0.94 integriert, um entsprechende Sicherheitslücken zu schließen.

Der Sicherheitspatch steht für MacOS X 10.4.11 und 10.5.5 sowohl in der Desktop- als auch der Servervariante als Download bereit. Zudem wird das Update über die Aktualisierungsfunktion des Betriebssystems verteilt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


schneckeNr1 12. Okt 2008

Nutze die Servervariante unter Virtualbox - wirklich gut!

root86.org 11. Okt 2008

Du mußt es ja wissen !

RaiseLee 10. Okt 2008

Das ist nur PR die wollen bloss in die News! Apple Software hat keine Fehler, nicht mal...

BartholoMaus 10. Okt 2008

Cool, dann können wir zusammen am Lagerfeuer sitzen und User essen. Nicht ich, die User...

iIT 10. Okt 2008

Mit Zeta wär das nicht passiert! Für Zeta kommen seit Jahren keine Updates raus weil Zeta...



Aktuell auf der Startseite von Golem.de
Google
Neues Pixel 6 kostet 650 Euro

Das Pixel 6 Pro mit Telekamera und schnellerem Display kostet ab 900 Euro. Google verbaut erstmals einen eigenen Prozessor.

Google: Neues Pixel 6 kostet 650 Euro
Artikel
  1. Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
    Klimaforscher
    Das Konzept der Klimaneutralität ist eine gefährliche Falle

    Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
    Von James Dyke, Robert Watson und Wolfgang Knorr

  2. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

  3. Kalter Krieg 2.0?: Die Aufregung um Chinas angebliche Hyperschallwaffe
    Kalter Krieg 2.0?
    Die Aufregung um Chinas angebliche Hyperschallwaffe

    Die Volksrepublik China soll eine Hyperschallwaffe getestet haben. China dementiert die Vorwürfe aber und sagt, es wäre ein Raumschiff gewesen.
    Eine Analyse von Patrick Klapetz

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /