108990

Mac-Update: Patch Day bei Apple

23.04.2007 | 16:11 Uhr |

Ohne viel Aufhebens darum zu machen hat Apple Ende letzter Woche ein großes Paket von Sicherheits-Updates bereit gestellt. Damit sollen insgesamt 25 Schwachstellen in Mac OS X beseitigt werden, die zum Teil das Einschleusen von beliebigem Code ermöglichen.

Wenn Apple einen Patch Day veranstaltet, geschieht das meist ohne großes Tamtam, so auch im April. Ein umfangreiches Update-Paket soll 25 Sicherheitslöcher in Mac OS X stopfen. Betroffen sind etliche Dienste und Programme, von denen einige anfällig für das Einschleusen von Code über Netzwerkschnittstellen sind. Andere ermöglichen etwa lokalen Benutzern eine Ausweitung ihrer Rechte.

So kann eine speziell präparierte TAR-Datei (Tape Archive) einen Pufferüberlauf in GNU Tar auslösen, wodurch Code eingeschleust und ausgeführt werden kann. Das Hilfesystem kann bereits durch einen speziellen Dateinamen einer Hilfedatei aus dem Tritt gebracht werden und die Ausführung eingeschleusten Codes erlauben. Eine ähnliche Schwachstelle steckt im Installationsprogramm von Mac OS. Beide Sicherheitslücken wurden bereits im Januar im Rahmen des Monats der Apple Bugs veröffentlicht.

Das Login-Fenster von Mac OS X enthält mehrere Schwachstellen, durch die ein Benutzer das Anmeldefenster umgehen kann. Der Samba-Dienst kann es unter Umständen einem lokalen Benutzer ermöglichen, Befehle mit Systemrechten auszuführen. Wenn die Internetverbindung für andere Rechner freigegeben ist, kann ein entfernter Angreifer einen Pufferüberlauf provozieren und eingeschleusten Code ausführen.

Eine wie üblich eher vage Beschreibung der Sicherheitslücken hat Apple in einem Support-Dokument bereit gestellt. Die Download-Größe des Sicherheits-Updates 2007-004 variiert von 9,3 MB für PowerPC-Clients bis 54,1 MB für Mac OS X 10.3.9 Server. Die Pakete sind über Apples Download-Seite sowie das integrierte Software-Update erhältlich.

0 Kommentare zu diesem Artikel
108990