Apple patcht zahlreiche Lücken in Mac OS X [Update]

Apple dichtet mit dem Update 2007-009 zahlreiche kritische Sicherheitslücken in Mac OS X ab.

In Pocket speichern vorlesen Druckansicht 187 Kommentare lesen
Lesezeit: 2 Min.
Von

Apple hat das Update 2007-009 für Mac OS X 10.4.11 und 10.5.1 sowie die Server-Varianten des Betriebssystems veröffentlicht, das zahlreiche Sicherheitslücken darin schließt. In der Übersicht zum Update dokumentiert der Hersteller insgesamt 31 Schwachstellen, von denen 16 das Einschleusen und Ausführen von Schadcode ermöglichen.

Beliebiger Programmcode lässt sich etwa mit präparierten Webseiten dem Adressbuch aufgrund eines Fehlers im URL-Handler unterjubeln. Ebenso konnten Bilder mit integriertem, manipulierten ColorSync-Profil zur Ausführung fremden Codes führen. Weitere Komponenten, die eingeschleusten Schadcode ausführen konnten, umfassen CUPS, die Desktop Services, IO Storage (E/A-Speicherreihe), die Launch Services, Perl, Python, Safari, Samba, Shockwave, die Software-Aktualisierung, Spotlight, tcpdump und XQuery.

Schwachstellen, die lokalen Anwendern die Ausweitung ihrer Rechte im System oder Angreifern das Ausspähen von Informationen oder das Überschreiben von Dateien ermöglichten, schließt das Update in CFNetwork, der Core Foundation, CUPS, Flash Player, GNU Tar, iChat, den Launch Services, Mail, Schnellvorschau, Ruby, Safari und in Spin Tracer.

[Update: Zum Fehler bei der Software-Aktualisierung gibt es weitere Informationen in einer Sicherheitsnotiz. Demnach signiert Apple zwar die einzelnen Updates, nicht aber die Steuerdatei, die Mac OS X über normales HTTP vom Update-Server lädt. Gelingt es einem Angreifer, beispielsweise via DNS- oder ARP-Spoofing einem Mac-Rechner eine manipulierte Steuerdatei unterzujubeln, kann er ihn beliebige Aktionen ausführen lassen.]

Das Update steht per automatischem Software-Update zur Verfügung, Administratoren können aber auch Pakete für ihre Plattform bei Apple herunterladen. Da das Update diverse kritische Lücken schließt, sollten Mac-OS-X-Nutzer es so bald wie möglich einspielen.

Siehe dazu auch:

  • Informationen zum Security Update 2007-009, Übersicht zum Update von Apple
  • Download von Update 2007-009 für Mac OS X 10.5.1 Client und Server (35,6 MByte)
  • Download von Update 2007-009 für Mac OS X 10.4.11 Client und Server für die PPC-Plattform (15,9 MByte)
  • Download von Update 2007-009 für Mac OS X 10.4.11 Client und Server (Universal/Intel) (27,4 MByte)

(dmk)