zurück zum Artikel

Mac OS X: Apple stopft kritische NTP-Schwachstelle

Leo Becker
OS X: Apple stopft kritische NTP-Schwachstelle

NTP soll für die richtige Uhrzeit sorgen

Das Update beseitigt eine Sicherheitslücke, die das Einschleusen und Ausführen von Schadcode ermöglicht – Exploits für die Schwachstelle sind im Umlauf. Apple drängt zur Installation, für Mac OS X Lion und Snow Leopard gibt es keine Aktualisierung.

Mit einem NTP-Sicherheits-Update hat Apple ein kritische Sicherheitsproblem in Mac OS X geschlossen [1]. Der Mac-Hersteller drängt Nutzer dazu, das Update "so bald wie möglich" zu installieren. Die Aktualisierung soll eine Schwachstelle in dem zur Synchronisierung der Uhrzeit verwendeten Network-Time-Protocol-Dienst (ntpd) beseitigen. Angreifer können die Lücken nutzen, um Buffer-Overflows zu provozieren und könnten damit Schadcode auf dem Gerät des Nutzers ausführen, warnt Apple.

Mitarbeiter von Googles Sicherheitsteam hatten das Problem am vergangenen Freitag gemeldet – es soll NTP vor Version 4.2.8 auf allen Systemen betreffen [2], die das Open-Source-Protokoll einsetzen. Exploits für die Schwachstelle sind öffentlich verfügbar, erklärt das für die Sicherheit industrieller Steuerungssysteme zuständige ICS-CERT der US-Regierung [3].

Apples ntpd-Update steht für OS X 10.10.1 Yosemite [4], OS X 10.9.5 Mavericks [5] sowie OS X 10.8.5 Mountain Lion [6] zum Download bereit – sowohl über den Mac App Store als auch als Download über Apples Support-Seite. Für Nutzer von Mac OS X 10.7 Lion sowie Mac OS X 10.6 Snow Leopard bietet der Konzern keine Sicherheitsaktualisierung an.

Um zu prüfen, ob die Aktualisierung erfolgreich verlaufen ist, können Nutzer die NTP-Version mit dem Befehl what /usr/sbin/ntpd im Terminal einsehen, merkt der Mac-Hersteller an. Die aktuelle Version für Yosemite sei ntp-92.5.1, für Mavericks ntp-88.1.1 und für Mountain Lion ntp-77.1.1. (lbe [7])

URL dieses Artikels:
https://www.heise.de/-2506071

Links in diesem Artikel:
[1] http://support.apple.com/kb/DL1782?viewlocale=en_US&locale=en_US
[2] http://support.ntp.org/bin/view/Main/SecurityNotice#Buffer_overflow_in_ctl_putdata
[3] https://ics-cert.us-cert.gov/advisories/ICSA-14-353-01
[4] http://support.apple.com/kb/DL1782?viewlocale=en_US&locale=en_US
[5] http://support.apple.com/kb/DL1783?viewlocale=en_US&locale=en_US
[6] http://support.apple.com/kb/DL1781?viewlocale=en_US&locale=en_US
[7] mailto:lbe@heise.de

Copyright © 2014 Heise Medien