Riesenpatch für MacOS X schließt viele Sicherheitslücken

Mehr als 50 Sicherheitslöcher in Apples Betriebssystem werden geschlossen

Weit mehr als 50 Sicherheitslücken beseitigt Apple in MacOS X mit einem aktuellen Patch. Viele Komponenten des Betriebssystems weisen Fehler auf, die zur Ausführung von Schadcode missbraucht werden können. Auch in Apples Webbrowser mussten Fehler beseitigt werden.

Artikel veröffentlicht am ,

Im Safari-Browser, in der WebKit-Engine und in der libxml steckt jeweils ein Sicherheitsloch, über das Angreifer Schadcode ausführen können. Opfer müssen lediglich eine entsprechend manipulierte Webseite öffnen. Drei Sicherheitslücken in der Komponente CoreGraphics machen sich bei der Anzeige von PDF-Dokumenten bemerkbar, die zum Ausführen von beliebigem Code missbraucht werden kann. Der eine Fehler tritt bereits beim Herunterladen einer PDF-Datei auf, wenn darin enthaltene JBIG2-Streams falsch verarbeitet werden.

Stellenmarkt
  1. Manager IT Business Applications (m/w/d)
    Hays AG, Stuttgart
  2. Mitarbeiter*innen für Anwendungsbetreuung & Support
    GEBIT MÜNSTER Gesellschaft für Beratung sozialer Innovation und Informationstechnologie mbH & Co. KG, Münster
Detailsuche

Die Cscope-Komponente verarbeitet lange Dateinamen fehlerhaft, was Angreifer dazu nutzen können, beliebigen Code auszuführen. Auch beim Einsatz von Disk Images kommt es zu zwei Fehlern. Über beide Sicherheitslecks kann Programmcode eingeschleust und gestartet werden. Dazu muss ein schadhaftes Disk Image nur vom ahnungslosen Anwender gemountet werden.

In der ATS-Komponente des Betriebssystems wurde ein Sicherheitsloch geschlossen, über das mit Hilfe präparierter CFF-Fonts schadhafter Programmcode gestartet werden kann. Auch in der Hilfefunktion wurden zwei schwere Sicherheitslöcher beseitigt. Das Öffnen einer präparierten Hilfedatei genügt, dass schädlicher Code auf das System gelangt. In Kerberos werden gleich drei Fehler beseitigt. Eine dieser drei Sicherheitslücken kann zur Codeausführung missbraucht werden.

Ein gefährliches Sicherheitsleck weist die Komponente Network Time auf, über die sich Code ausführen lässt. Ein solcher Angriff ist auch mit PICT-Dateien möglich, wenn diese entsprechend präpariert sind, weil der QuickDraw Manager diese falsch verarbeitet. Auch über Spotlight können Angreifer beliebigen Programmcode ausführen, indem sie Opfer zum Öffnen einer manipulierten Microsoft-Office-Datei verleiten.

Fehlerhaft ist auch die Telnet-Komponente. Bei Verbindung mit einem Telnet-Server können Angreifer so Schadcode auf ein fremdes System schleusen und dort starten. Auch in X11 musste ein gefährliches Sicherheitsloch beseitigt werden, das zur Ausführung von Programmcode missbraucht werden kann. Mit dem Update aktualisiert Apple auch das Flash-Plug-in des Betriebssystems. Die neue Version beseitigt einige Sicherheitslücken, die im schlimmsten Fall zur Ausführung von Schadcode missbraucht werden kann.

Insgesamt drei Fehler werden in Apache beseitigt, zwei davon können für Cross-Site-Scripting-Angriffe missbraucht werden. In der Netzwerkkomponente kann ein Fehler dazu missbraucht werden, ein fremdes System herunterzufahren. Zudem korrigiert der aktuelle Patch Sicherheitslücken in den Betriebssystemkomponenten Bind, CFNetwork, Cups, Enscript, iChat, Unicode-Funktionen, IPsec, Launch Services, Net-SNMP, Network Time, OpenSSL, PHP, Ruby, system_cmds, X11 und im Kernel.

Der Sicherheitspatch steht für MacOS X 10.4.x in der Desktop- und Servervariante als Download bereit. Zudem hat Apple MacOS X 10.5.7 veröffentlicht, in dem diese Sicherheitslücken geschlossen werden. Das Update wird auch über die Aktualisierungsfunktion des Betriebssystems verteilt.

MacOS X 10.5.7 bringt außerdem ein paar Verbesserungen am Betriebssystem. Dazu gehören neue RAW-Treiber, eine verbesserte Bildausgabe für aktuelle Macs mit Nvidia-Grafikchip, Optimierungen an Spotlight, iCal und Mail. Ferner wurden die Druckfunktionen überarbeitet und die integrierte Kindersicherung verbessert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


HJa 10. Okt 2009

Nun gut ihr Windows-User. Vielfalt SW: da seid ihr ganz weit vorne Verbreitung System...

Menschen sind... 14. Mai 2009

Safari 4 lief bei mir vorher schon stabil.

bekiro 14. Mai 2009

kann nur schmunzeld zustimmen. ist schon was wares dran :-D

alibaba81 14. Mai 2009

alder, du hasch null plan - kaufst du krasse zx81, hassu keine virus!

genau 14. Mai 2009

bei Windows gibts für Adobe Produkte gleich nen eigenen Beitrag.



Aktuell auf der Startseite von Golem.de
Plugin-Hybride
Autoindustrie wehrt sich gegen höhere Förderauflagen

Die Regierung will die Förderung von Plugin-Hybriden nur noch von der Reichweite abhängig machen. Zudem werden künftig Kleinstautos gefördert.
Ein Bericht von Friedhelm Greis

Plugin-Hybride: Autoindustrie wehrt sich gegen höhere Förderauflagen
Artikel
  1. Windows und Office: Microsoft-Accounts funktionieren jetzt auch ohne Passwörter
    Windows und Office
    Microsoft-Accounts funktionieren jetzt auch ohne Passwörter

    Das passwortlose Anmelden wird bereits von einigen Microsoft-Kunden genutzt. Die Funktion wird nun auf alle Konten ausgeweitet.

  2. Datenleck: Daten von Autovermietung in öffentlichem Forum geteilt
    Datenleck
    Daten von Autovermietung in öffentlichem Forum geteilt

    Daten von über 130.000 Kunden einer Autovermietung in Gran Canaria werden in einem Forum angeboten. Auch Tausende Personen aus Deutschland sind betroffen.

  3. Gopro Hero 10 Black ausprobiert: Gopros neue Kamera ist die Schnellste
    Gopro Hero 10 Black ausprobiert
    Gopros neue Kamera ist die Schnellste

    Endlich ein neuer Chip und mehr Zeitlupe! Wo Gopros Action-Kamera das Vorgängermodell schlägt, konnten wir vor dem Produktstart ausprobieren.
    Von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Club-Tage: Bis zu 15% auf TVs, PCs, Monitore uvm.) • Alternate (u. a. Razer Kraken X für Konsole 34,99€) • Xiaomi 11T 5G vorbestellbar 549€ • Saturn-Deals (u. a. Samsung 55" QLED (2021) 849,15€) • Logitech-Aktion: 20%-Rabattgutschein für ASOS • XMG-Notebooks mit 250€ Rabatt [Werbung]
    •  /