Apple schließt Sicherheitslücken in Mac OS X
Kurz bevor Microsoft seinen Patchday veranstaltet, hat Apple das Sicherheitsupdate 2008-001 veröffentlicht und Mac OS X auf den Versionsstand 10.5.2 gehoben.
Apple hat das Sicherheitsupdate 2008-001 veröffentlicht und Mac OS X 10.5 auf Version 10.5.2 aktualisiert – kurz bevor Microsoft seine monatlichen Updates verteilen will. Das Apple-Update schließt insgesamt elf Schwachstellen, von denen drei Mac OS X 10.4 betreffen, sechs das neue 10.5 und zwei beide Versionen.
Unter Mac OS X 10.5 konnten Angreifer mit manipulierten URLs fremden Programmcode in Safari einschleusen und ausführen. Durch einen Fehler im NFS-Client und -Server war ebenfalls Codeschmuggel möglich. Außerdem enthielt Mac OS X 10.5 den verwundbaren X Font Server (XFS) 1.0.4, den Apple mit dem Update auf die fehlerbereinigte Version 1.0.5 aktualisiert. Die Entwickler haben auch den Fehler ausgebügelt, durch den Änderungen an den X11-Sicherheitseinstellungen nicht übernommen wurden, die etwa den Zugriff von Netzwerk-Clients unterbinden sollten.
Mail unter Mac OS X 10.4 konnte ohne weitere Warnungen Befehle ausführen, die sich in file://-URIs verbargen, wenn ein Anwender auf so einen Link geklickt hat. Sowohl in Mac OS X 10.4 und 10.5 hat Terminal.app übergebene URLs nicht korrekt überprüft, wodurch Angreifer ebenfalls beliebigen Code ausführen konnten. Für den unter beiden Betriebssystemversionen laufenden Samba-Server haben Apples Entwickler einen Patch integriert, der eine Sicherheitslücke schließt, die das Einschleusen fremden Codes ermöglichte.
Das Sicherheitsupdate 2008-001 schließt auch weniger kritische Lücken. Lokale Anwender konnten aufgrund eines Fehlers in den Directory Services von Mac OS X 10.4 ihre Rechte im System ausweiten. Außerdem konnte das Active-Directory-Plugin von Open Directory den winbindd abschießen, wodurch keine NTLM-Authentifizierungsanfragen mehr möglich waren. Unter Mac OS X 10.5 konnten Anwendungen auch nach ihrer Deinstallation noch gestartet werden, sofern von ihnen ein Backup in Time Machine vorlag.
Für Anwender, die ihr Mac OS X auf Version 10.5.2 aktualisiert haben, reicht Apple außerdem noch das Leopard Graphics Update 1.0 nach. Es soll die Grafikkartentreiber aktualisieren und dadurch die Kompatibilität und Stabilität des Systems verbessern. Mac OS X 10.5.2 bringt auch zahlreiche, nicht sicherheitsrelevante Verbesserungen mit, die die Stabilität und Geschwindigkeit erhöhen sollen. Apple listet sie in einer Zusammenfassung detaillierter auf.
Die Updates werden bereits per automatischem Software-Update verteilt. Anwender, die das automatische Update deaktiviert haben, können sich aber auch Update-Pakete von Apple herunterladen. Da die Updates mehrere, auch aus dem Netz ausnutzbare Lücken schließen, sollten Anwender sie umgehend einspielen.
Siehe dazu auch:
- About the security content of Mac OS X 10.5.2 and Security Update 2008-001, Sicherheitsmeldung von Apple
- About the Mac OS X 10.5.2 Update, Zusammenfassung der Änderungen in Mac OS X 10.5.2 von Apple
- Download (28,8 MByte) des Updates 2008-001 für Mac OS X 10.4 (Universal)
- Download (16,7 MByte) des Updates 2008-001 für Mac OS X 10.4 (PPC)
- Download (343 MByte) des Updates auf Mac OS X 10.5.2 (Combo)
- Download (382 MByte) des Updates auf Mac OS X Server 10.5.2 (Combo)
- Download (48,9 MByte) des Leopard Graphics Update 1.0 für Mac OS X 10.5.2
