119342

Patch Day bei Apple

03.08.2006 | 15:44 Uhr |

Die Sicherheits-Updates für Mac OS X schließen Lücken in Diensten und Anwendungen, durch die Angreifer Code einschleusen könnten.

Auch Apple, der Hersteller von Mac OS X, veröffentlicht recht regelmäßig gesammelte Sicherheits-Updates für sein Betriebssystem. Das Update-Paket 2006-004 ist das vierte in diesem Jahr und behandelt mehr als zwei Dutzend Sicherheitslücken, die zum Teil das Einschleusen und Ausführen von beliebigem Programm-Code ermöglichen können.

Allein vier mit dem Update korrigierte Schwachstellen stecken im AFP-Server. Sie ermöglichen Denial-of-Service-Angriffe, das Einschleusen von Code oder auch eine Ausweitung von Benutzerrechten, etwa beim Zugriff auf Dateien. Die Sicherheit der Bluetooth-Unterstützung wird durch einen längerem Schlüssel für das Pairing von Bluetooth-Geräten verbessert. Der automatisch generierte Schlüssel ist jetzt acht Zeichen lang statt bisher sechs.

Die Dateikompressionsroutine Bom ist anfällig für Angriffe mit speziell präparierten ZIP-Archiven, durch die Programm-Code ausgeführt werden kann. Auch in der Verarbeitung von verschiedenen Grafikformaten (GIF, TIFF, RAW, Radiance) stecken Sicherheitslücken, über die Schädlinge eingeschmuggelt werden können. Unter anderen ist die quelloffene, auch unter Linux bekannte Programmbibliothek "libtiff" dafür verantwortlich.

Mehrere schon länger bekannte Schwachstellen in Fetchmail und ein Leck im DHCP-Client sind ebenfalls ausnutzbar und werden durch Updates beseitigt. Eine Übernahme der Kontrolle des Rechners durch einen Angreifer wird durch einen Fehler in der Systemkomponente Launch Services begünstigt, die eine Ausführung von Javascript-Code aus einer Web-Seite auf dem lokalen System erlaubt.

Die Aktualisierungen sind über das integrierte Software Update oder als Download vom Apple-Server erhältlich. Mit 5,4 MB für den PPC- und 8,3 MB für den Intel-Client von Mac OS X 10.4.7 fallen die Downloads relativ klein aus. Für das ältere Mac OS X 10.3.9 sind hingegen 29,5 MB für die Client- und 42,7 MB für die Server-Version nötig. Eine Informationsseite von Apple beschreibt die beseitigten Fehler.

0 Kommentare zu diesem Artikel
119342