Abo
  • Services:

Riesenpatch für MacOS X schließt viele Sicherheitslücken

Mehr als 50 Sicherheitslöcher in Apples Betriebssystem werden geschlossen

Weit mehr als 50 Sicherheitslücken beseitigt Apple in MacOS X mit einem aktuellen Patch. Viele Komponenten des Betriebssystems weisen Fehler auf, die zur Ausführung von Schadcode missbraucht werden können. Auch in Apples Webbrowser mussten Fehler beseitigt werden.

Artikel veröffentlicht am ,

Im Safari-Browser, in der WebKit-Engine und in der libxml steckt jeweils ein Sicherheitsloch, über das Angreifer Schadcode ausführen können. Opfer müssen lediglich eine entsprechend manipulierte Webseite öffnen. Drei Sicherheitslücken in der Komponente CoreGraphics machen sich bei der Anzeige von PDF-Dokumenten bemerkbar, die zum Ausführen von beliebigem Code missbraucht werden kann. Der eine Fehler tritt bereits beim Herunterladen einer PDF-Datei auf, wenn darin enthaltene JBIG2-Streams falsch verarbeitet werden.

Stellenmarkt
  1. ING-DiBa AG, Frankfurt
  2. OTTO JUNKER GmbH, Simmerath

Die Cscope-Komponente verarbeitet lange Dateinamen fehlerhaft, was Angreifer dazu nutzen können, beliebigen Code auszuführen. Auch beim Einsatz von Disk Images kommt es zu zwei Fehlern. Über beide Sicherheitslecks kann Programmcode eingeschleust und gestartet werden. Dazu muss ein schadhaftes Disk Image nur vom ahnungslosen Anwender gemountet werden.

In der ATS-Komponente des Betriebssystems wurde ein Sicherheitsloch geschlossen, über das mit Hilfe präparierter CFF-Fonts schadhafter Programmcode gestartet werden kann. Auch in der Hilfefunktion wurden zwei schwere Sicherheitslöcher beseitigt. Das Öffnen einer präparierten Hilfedatei genügt, dass schädlicher Code auf das System gelangt. In Kerberos werden gleich drei Fehler beseitigt. Eine dieser drei Sicherheitslücken kann zur Codeausführung missbraucht werden.

Ein gefährliches Sicherheitsleck weist die Komponente Network Time auf, über die sich Code ausführen lässt. Ein solcher Angriff ist auch mit PICT-Dateien möglich, wenn diese entsprechend präpariert sind, weil der QuickDraw Manager diese falsch verarbeitet. Auch über Spotlight können Angreifer beliebigen Programmcode ausführen, indem sie Opfer zum Öffnen einer manipulierten Microsoft-Office-Datei verleiten.

Fehlerhaft ist auch die Telnet-Komponente. Bei Verbindung mit einem Telnet-Server können Angreifer so Schadcode auf ein fremdes System schleusen und dort starten. Auch in X11 musste ein gefährliches Sicherheitsloch beseitigt werden, das zur Ausführung von Programmcode missbraucht werden kann. Mit dem Update aktualisiert Apple auch das Flash-Plug-in des Betriebssystems. Die neue Version beseitigt einige Sicherheitslücken, die im schlimmsten Fall zur Ausführung von Schadcode missbraucht werden kann.

Insgesamt drei Fehler werden in Apache beseitigt, zwei davon können für Cross-Site-Scripting-Angriffe missbraucht werden. In der Netzwerkkomponente kann ein Fehler dazu missbraucht werden, ein fremdes System herunterzufahren. Zudem korrigiert der aktuelle Patch Sicherheitslücken in den Betriebssystemkomponenten Bind, CFNetwork, Cups, Enscript, iChat, Unicode-Funktionen, IPsec, Launch Services, Net-SNMP, Network Time, OpenSSL, PHP, Ruby, system_cmds, X11 und im Kernel.

Der Sicherheitspatch steht für MacOS X 10.4.x in der Desktop- und Servervariante als Download bereit. Zudem hat Apple MacOS X 10.5.7 veröffentlicht, in dem diese Sicherheitslücken geschlossen werden. Das Update wird auch über die Aktualisierungsfunktion des Betriebssystems verteilt.

MacOS X 10.5.7 bringt außerdem ein paar Verbesserungen am Betriebssystem. Dazu gehören neue RAW-Treiber, eine verbesserte Bildausgabe für aktuelle Macs mit Nvidia-Grafikchip, Optimierungen an Spotlight, iCal und Mail. Ferner wurden die Druckfunktionen überarbeitet und die integrierte Kindersicherung verbessert.



Anzeige
Top-Angebote
  1. (-88%) 2,49€
  2. (-77%) 11,49€
  3. 55,11€ (Bestpreis!)
  4. 299€ + 4,99€ Versand oder Abholung im Markt

HJa 10. Okt 2009

Nun gut ihr Windows-User. Vielfalt SW: da seid ihr ganz weit vorne Verbreitung System...

Menschen sind... 14. Mai 2009

Safari 4 lief bei mir vorher schon stabil.

bekiro 14. Mai 2009

kann nur schmunzeld zustimmen. ist schon was wares dran :-D

alibaba81 14. Mai 2009

alder, du hasch null plan - kaufst du krasse zx81, hassu keine virus!

genau 14. Mai 2009

bei Windows gibts für Adobe Produkte gleich nen eigenen Beitrag.


Folgen Sie uns
       


Lenovo Ideapad 720S - Test (AMD vs. Intel)

Wir vergleichen Lenovos Ideapad 720S mit AMDs Ryzen 7 und Intels Core i5.

Lenovo Ideapad 720S - Test (AMD vs. Intel) Video aufrufen
Underworld Ascendant angespielt: Unterirdische Freiheit mit kaputter Klinge
Underworld Ascendant angespielt
Unterirdische Freiheit mit kaputter Klinge

Wir sollen unser Können aus dem bahnbrechenden Ultima Underworld verlernen: Beim Anspielen des Nachfolgers Underworld Ascendant hat Golem.de absichtlich ein kaputtes Schwert bekommen - und trotzdem Spaß.
Von Peter Steinlechner

  1. Otherside Entertainment Underworld Ascendant soll mehr Licht ins Dunkle bringen

Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Soziales Netzwerk Facebook will in Deutschland Vertrauen wiedergewinnen
  2. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern
  3. Facebook-Anhörung Zuckerbergs Illusion von der vollen Kontrolle

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /