Apple schließt kritische Sicherheitslücke in Safari [Update]

Über präparierte RSS-Feeds ließ sich JavaScript einschleusen und in der lokalen Zone ausführen. Apple hat zudem viele weitere Sicherheitslücken in Mac OS X und Java geschlossen.

In Pocket speichern vorlesen Druckansicht 85 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Apples Sicherheits-Update 2009-001 schließt zahlreiche Sicherheitslücken in Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 und Mac OS X Server v10.5.6, von denen sich mehrere zum Einschleusen und Ausführen von Code missbrauchen lassen. Dazu gehört auch die Mitte Januar gemeldete Lücke im Browser Safari. Durch präparierte RSS-Feeds ist es möglich, JavaScript in der lokalen Sicherheitszone auszuführen. Für die Windows-Version von Safari 3.2.2 steht ein gesondertes Update bereit.

Die anderen Schwachstellen in Mac OS X betreffen etwa X11, Samba, Squirrelmail, Python, perl, CUPS, CFNetwork, Clamav, AFPServer und CarbonCore. Allerdings ist nicht jede Lücke in jeder Mac-OS-X-Version zu finden. Das Update ist je nach Zielplattform zwischen 43 MByte (Leopard) und 213 MByte (Server Universal) groß.

Darüber hinaus hat Apple Java for Mac OS X 10.5 Update 3 und Java for Mac OS X 10.4, Release 8 veröffentlicht. Beide Versionen sollen mehrere Schwachstellen in Java Web Start und dem Java Plug-in beseitigen. Auch hier ermöglicht eine Lücke sonst einem Angreifer, Code auf das System eines Opfers zu schleusen und auszuführen. Dazu genügt der Besuch einer präparierten Webseite.

[Update]:Der Entdecker der Safari-Lücke Brian Mastenbrook hat in seinem Blog darauf hingewiesen, dass er die Lücke bereits Mitte Juli 2008 an Apple gemeldet hat. Erst nachdem sich ein halbes Jahr nichts tat, veröffentlichte er erste Informationen über das Problem. Mastenbrook beschreibt zudem einige weitere, bereits länger zurückliegende Lücken in Safari und beklagt sich über die langen Reaktionszeiten des Herstellers. [/Update]

Siehe dazu auch:

(dab)