Abo
  • IT-Karriere:

Umfangreiches Sicherheitsupdate für MacOS X

Patch beseitigt fünf als gefährlich eingestufte Sicherheitslöcher

Apple hat mit dem Security Update 2008-007 ein umfangreiches Patchpaket für MacOS X veröffentlicht, mit dem zahlreiche Sicherheitslecks geschlossen werden. Fünf Sicherheitslücken gelten als gefährlich, weil sie zum Ausführen von Schadcode missbraucht werden können. Die Updates gibt es für MacOS X 10.4.11 sowie 10.5.5.

Artikel veröffentlicht am ,

Eine Sicherheitslücke befindet sich in der Farbprofilkomponente ColorSync. Der Fehler kann zum Ausführen von Schadcode missbraucht werden, indem ein Angreifer das Opfer dazu verleitet, eine manipulierte Bilddatei mit einem eingebetteten ICC-Profil zu öffnen. Alternativ dazu kann der Fehler auch nur zu einem Programmabsturz führen.

Stellenmarkt
  1. SCHILLER Medizintechnik GmbH, Feldkirchen
  2. Stadtverwaltung Kaiserslautern, Kaiserslautern

Der von HP stammende HPGL-Filter für Cups weist einen Fehler auf, mit dem sich Schadcode aus der Ferne ausführen lässt, wenn Drucker-Sharing aktiviert ist. Ist die Sharing-Funktion deaktiviert, kann der Fehler von einem lokal angemeldeten Nutzer noch zur Rechteausweitung verwendet werden.

In der libxslt-Bibliothek steckt ein Programmfehler, der sich über eine speziell aufgemachte HTML-Seite ausnutzen lässt. Dann kann ein Angreifer entweder einen Programmabsturz provozieren oder auch schadhaften Programmcode ausführen. Die Komponente PSNormalizer weist ein gefährliches Sicherheitsleck auf, worüber Angreifer mittels präparierter PostScript-Datei im schlimmsten Fall beliebigen Programmcode ausführen können. Eine Rechteausweitung ist durch einen Programmfehler in den Netzwerkfunktionen sowie im Script Editor von MacOS X möglich.

Die oben genannten Sicherheitslecks stecken sowohl in MacOS X 10.4.11 als auch in 10.5.5, während die nachfolgenden Programmfehler nur in MacOS X 10.5.5 zu finden sind. Die QuickLook-Komponente verarbeitet Excel-Dokumente falsch, so dass das Öffnen oder das Herunterladen einer präparierten Datei für das Ausführen von Schadcode genutzt werden kann.

Ein Programmfehler im Finder macht den Mac-Desktop unbrauchbar, weil die Anzeige des Programmicons mit einer speziell bearbeiteten Programmdatei durcheinandergebracht werden kann. Ohne Entfernung der betreffenden Datei wäre der Finder nicht mehr nutzbar. Das Update lagert diese Funktion in einen separaten Prozess, so dass es nicht mehr zu diesem Fehler kommt. In Postfix erlaubt ein Fehler einem lokal angemeldeten Nutzer unter bestimmten Umständen den Versand einer E-Mail an andere lokal angemeldete Anwender. Auch dieser Fehler soll mit dem Update korrigiert werden.

Zahlreiche bestehende Zertifikate wurden aktualisiert und neue hinzugefügt. Außerdem liegt eine aktualisierte Version der Komponente launchd bei, die einen kleineren Programmfehler beseitigt. Auch rlogin sowie Single Sign-On wurden aktualisiert, um kleinere Programmfehler zu korrigieren.

Dem Sicherheitspatch liegt Apache in der neuen Version 2.2.9 bei, die mehrere Sicherheitslecks der Vorversion beseitigt. Gleiches gilt für den MySQL Server, der nun in der Version 5.0.67 beiliegt, sowie für PHP, das in der Version 4.4.9 integriert wurde. Auch neue Versionen von Tomcat und vim sind nun Bestandteil von MacOS X. Zudem wurde der Virenscanner ClamAV in der Version 0.94 integriert, um entsprechende Sicherheitslücken zu schließen.

Der Sicherheitspatch steht für MacOS X 10.4.11 und 10.5.5 sowohl in der Desktop- als auch der Servervariante als Download bereit. Zudem wird das Update über die Aktualisierungsfunktion des Betriebssystems verteilt.



Anzeige
Top-Angebote
  1. 119,90€ + Versand (Vergleichspreis 144,61€ + Versand)
  2. 199€
  3. (aktuell u. a. AMD Ryzen Threadripper 1920X für 209,90€ statt 254,01€ im Vergleich und be...
  4. (u. a. Logitech G502 Proteus Spectrum für 39€ und Nokia 3.2 DS 16 GB für 84,99€ - Bestpreise!)

schneckeNr1 12. Okt 2008

Nutze die Servervariante unter Virtualbox - wirklich gut!

root86.org 11. Okt 2008

Du mußt es ja wissen !

RaiseLee 10. Okt 2008

Das ist nur PR die wollen bloss in die News! Apple Software hat keine Fehler, nicht mal...

BartholoMaus 10. Okt 2008

Cool, dann können wir zusammen am Lagerfeuer sitzen und User essen. Nicht ich, die User...

iIT 10. Okt 2008

Mit Zeta wär das nicht passiert! Für Zeta kommen seit Jahren keine Updates raus weil Zeta...


Folgen Sie uns
       


Atari Portfolio angesehen

Der Atari Portfolio war einer der ersten Palmtop-Computer der Welt - und ist auch 30 Jahre später noch ein interessanter Teil der Computergeschichte. Golem.de hat sich den Mini-PC im Retrotest angeschaut.

Atari Portfolio angesehen Video aufrufen
IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

    •  /