Original-URL des Artikels: https://www.golem.de/0803/58493.html    Veröffentlicht: 19.03.2008 11:24    Kurz-URL: https://glm.io/58493

Apple stopft 46 Sicherheitslöcher in MacOS X

Sicherheitsupdate für MacOS X 10.4 und 10.5

Nachdem Apple bereits mit der neuen Browserversion Safari 3.1 einige Einfallstore geschlossen hat, schließt das nun veröffentlichte zweite große Sicherheitsupdate 2008-002 eine fast schon unüberschaubar hohe Anzahl von Sicherheitslücken in verschiedenen Versionen von MacOS X.

Das zweite Sicherheitsupdate des Jahres 2008 beseitigt wieder zahlreiche Sicherheitslücken in verschiedenen Betriebssystemen von Apple. Zu den betroffenen Produkten zählen MacOS X 10.4.11 alias "Tiger" und MacOS X 10.5.2 alias "Leopard". Auch die Server-Varianten der beiden Systeme sind von einigen Schwachstellen betroffen.

Die genannten Lücken betreffen verschiedenste Komponenten und Anwendungen von MacOS X: Mit entsprechend zusammengesetzten URLs lassen sich auf einem ungepatchten System unter anderem Schwachstellen beim Umgang mit AFP-Filesharing und in der Hilfefunktion ausnutzen, um fremden Programmcode bzw. AppleScript-Code auszuführen.

Probleme mit dem Aushebeln eingeschränkter Systemrechte werden mit dem Sicherheitsupdate ebenfalls korrigiert. Durch das Senden einer entsprechend präparierten Nachricht an das NetCfgTool ist es unter MacOS X ohne das eingespielte Update möglich, sich höhere Nutzungsrechte zu erschleichen. Dies ist auch mit dem X11-Server möglich, der zahlreiche Lücken aufweist, die sich nicht nur auf das Verschaffen höherer Nutzungsrechte beschränken, sondern unter anderem auch das Ausführen von fremdem Code erlauben oder einen Denial-of-Service-Angriff ermöglichen. Darüber hinaus ist es auch mit OpenSSH möglich, fremden Code mit höheren Nutzungsrechten auszuführen.

In der Skriptsprache PHP 4.4.7 und 5.2.4 wurden ebenfalls einige Lücken gefunden, die mit einem Update auf die Versionen 4.4.8 bzw. 5.2.5 geschlossen werden. Weitere Probleme, bis hin zur Ausführung von Fremdcode, betreffen unter anderem die Komponenten Apache, CUPS und Emacs.

Ein paar Schwierigkeiten gibt es beim Umgang mit PDF-Dokumenten unter MacOS X 10.5.2: So ist es möglich, dass beim Speichern oder Drucken eines verschlüsselten PDF-Dokuments der Passwortschutz ausgehebelt wird. Das kann sowohl beim Passwortschutz einer PDF-Datei selbst passieren als auch beim Drucken über das Netzwerk. Bei Letzterem können sogar die Daten des Zugangs zum eigenen Betriebssystem offengelegt werden, sofern für das Drucken eine Benutzeranmeldung notwendig ist. Auch der Podcast Producer hat so seine Probleme mit dem Umgang von Passwörtern. Der Vorgänger MacOS X 10.4 ist davon nicht betroffen.

Ebenfalls nur unter der Version 10.5 soll der Umgang mit dem UDF-Dateisystem problematisch sein. Ein entsprechend zusammengestelltes Disk Image kann das Betriebssystem abstürzen lassen. Als Sicherheitslücke zählt Apple auch eine falsche Übersetzung der Firewall, die Nutzer betrifft, die MacOS X in der deutschen Sprache nutzen und die damit für sicherheitsrelevante Verwirrung sorgen könnte.

Nur die Server-Variante von MacOS X ist von der folgenden Lücke betroffen: Der bei MacOS X 10.4 und 10.5 mitgelieferte ClamAV-Virenscanner soll gleich mehrere Schwachstellen haben, von denen Apple nur die gefährlichsten nennt. So ist es unter anderem möglich, über eine Schwachstelle im Virenscanner fremden Code und damit Schadsoftware in das System einzuschleusen.

Weitere Details zu den zusammengezählt immerhin 46 beschriebenen Sicherheitslücken finden sich im Apple-Dokument 307562. Die jeweils beschriebenen Lücken enthalten teils weitere, meist kleinere Probleme. Es empfiehlt sich, das Sicherheitsupdate möglichst bald einzuspielen.

Das Sicherheitsupdate 2008-002 wird in der Regel über die Software-Aktualisierung vom Betriebssystem angeboten. Alternativ stehen verschiedene Downloads für MacOS X 10.4.11 und MacOS X 10.5.2 auf den Download-Seiten von Apple zur Verfügung. Das Update ist je nach Architektur zwischen 50 und 110 MByte groß und gilt auch für die Server-Varianten von MacOS X.  (ase)


Verwandte Artikel:
Umfangreiches Sicherheits-Update für MacOS X   
(18.12.2007, https://glm.io/56596 )

Links zum Artikel:
Apple: http://www.apple.com/de
Apple - Mac OS X: http://www.apple.com/macosx/

© 1997–2021 Golem.de, https://www.golem.de/