Abo
  • Services:

Riesenpatch für MacOS X schließt viele Sicherheitslücken

Mehr als 50 Sicherheitslöcher in Apples Betriebssystem werden geschlossen

Weit mehr als 50 Sicherheitslücken beseitigt Apple in MacOS X mit einem aktuellen Patch. Viele Komponenten des Betriebssystems weisen Fehler auf, die zur Ausführung von Schadcode missbraucht werden können. Auch in Apples Webbrowser mussten Fehler beseitigt werden.

Artikel veröffentlicht am ,

Im Safari-Browser, in der WebKit-Engine und in der libxml steckt jeweils ein Sicherheitsloch, über das Angreifer Schadcode ausführen können. Opfer müssen lediglich eine entsprechend manipulierte Webseite öffnen. Drei Sicherheitslücken in der Komponente CoreGraphics machen sich bei der Anzeige von PDF-Dokumenten bemerkbar, die zum Ausführen von beliebigem Code missbraucht werden kann. Der eine Fehler tritt bereits beim Herunterladen einer PDF-Datei auf, wenn darin enthaltene JBIG2-Streams falsch verarbeitet werden.

Stellenmarkt
  1. CSB-SYSTEM AG, Kleinmachnow
  2. über Dr. Richter Heidelberger GmbH & Co. KG, Großraum Zwickau/Vogtland

Die Cscope-Komponente verarbeitet lange Dateinamen fehlerhaft, was Angreifer dazu nutzen können, beliebigen Code auszuführen. Auch beim Einsatz von Disk Images kommt es zu zwei Fehlern. Über beide Sicherheitslecks kann Programmcode eingeschleust und gestartet werden. Dazu muss ein schadhaftes Disk Image nur vom ahnungslosen Anwender gemountet werden.

In der ATS-Komponente des Betriebssystems wurde ein Sicherheitsloch geschlossen, über das mit Hilfe präparierter CFF-Fonts schadhafter Programmcode gestartet werden kann. Auch in der Hilfefunktion wurden zwei schwere Sicherheitslöcher beseitigt. Das Öffnen einer präparierten Hilfedatei genügt, dass schädlicher Code auf das System gelangt. In Kerberos werden gleich drei Fehler beseitigt. Eine dieser drei Sicherheitslücken kann zur Codeausführung missbraucht werden.

Ein gefährliches Sicherheitsleck weist die Komponente Network Time auf, über die sich Code ausführen lässt. Ein solcher Angriff ist auch mit PICT-Dateien möglich, wenn diese entsprechend präpariert sind, weil der QuickDraw Manager diese falsch verarbeitet. Auch über Spotlight können Angreifer beliebigen Programmcode ausführen, indem sie Opfer zum Öffnen einer manipulierten Microsoft-Office-Datei verleiten.

Fehlerhaft ist auch die Telnet-Komponente. Bei Verbindung mit einem Telnet-Server können Angreifer so Schadcode auf ein fremdes System schleusen und dort starten. Auch in X11 musste ein gefährliches Sicherheitsloch beseitigt werden, das zur Ausführung von Programmcode missbraucht werden kann. Mit dem Update aktualisiert Apple auch das Flash-Plug-in des Betriebssystems. Die neue Version beseitigt einige Sicherheitslücken, die im schlimmsten Fall zur Ausführung von Schadcode missbraucht werden kann.

Insgesamt drei Fehler werden in Apache beseitigt, zwei davon können für Cross-Site-Scripting-Angriffe missbraucht werden. In der Netzwerkkomponente kann ein Fehler dazu missbraucht werden, ein fremdes System herunterzufahren. Zudem korrigiert der aktuelle Patch Sicherheitslücken in den Betriebssystemkomponenten Bind, CFNetwork, Cups, Enscript, iChat, Unicode-Funktionen, IPsec, Launch Services, Net-SNMP, Network Time, OpenSSL, PHP, Ruby, system_cmds, X11 und im Kernel.

Der Sicherheitspatch steht für MacOS X 10.4.x in der Desktop- und Servervariante als Download bereit. Zudem hat Apple MacOS X 10.5.7 veröffentlicht, in dem diese Sicherheitslücken geschlossen werden. Das Update wird auch über die Aktualisierungsfunktion des Betriebssystems verteilt.

MacOS X 10.5.7 bringt außerdem ein paar Verbesserungen am Betriebssystem. Dazu gehören neue RAW-Treiber, eine verbesserte Bildausgabe für aktuelle Macs mit Nvidia-Grafikchip, Optimierungen an Spotlight, iCal und Mail. Ferner wurden die Druckfunktionen überarbeitet und die integrierte Kindersicherung verbessert.



Anzeige
Blu-ray-Angebote
  1. (nur für Prime-Mitglieder)
  2. (2 Monate Sky Ticket für nur 4,99€)

HJa 10. Okt 2009

Nun gut ihr Windows-User. Vielfalt SW: da seid ihr ganz weit vorne Verbreitung System...

Menschen sind... 14. Mai 2009

Safari 4 lief bei mir vorher schon stabil.

bekiro 14. Mai 2009

kann nur schmunzeld zustimmen. ist schon was wares dran :-D

alibaba81 14. Mai 2009

alder, du hasch null plan - kaufst du krasse zx81, hassu keine virus!

genau 14. Mai 2009

bei Windows gibts für Adobe Produkte gleich nen eigenen Beitrag.


Folgen Sie uns
       


Cloudgaming mit dem Fire TV Stick ausprobiert

Wir streamen und spielen mit 60 fps mit dem Fire TV Stick.

Cloudgaming mit dem Fire TV Stick ausprobiert Video aufrufen
VR-Rundschau: Retten rockende Jedi-Ritter die virtuelle Realität?
VR-Rundschau
Retten rockende Jedi-Ritter die virtuelle Realität?

Der mediale Hype um VR ist zwar abgeflaut, spannende Inhalte dafür gibt es aber weiterhin - und das nicht nur im Games-Bereich. Mit dabei: das beliebteste Spiel bei Steam, Jedi-Ritter auf Speed und ägyptische Grabkammern.
Ein Test von Achim Fehrenbach

  1. Grafikkarten Virtual Link via USB-C für Next-Gen-Headsets
  2. Oculus Core 2.0 Windows 10 wird Minimalanforderung für Oculus Rift
  3. Virtual Reality BBC überträgt Fußball-WM in der virtuellen VIP-Loge

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

    •  /