Apple bringt Sicherheits-Update für Mac OS X

Insgesamt 15 Sicherheitslücken korrigiert Apple mit dem Security Update 2004-09-07. Das je nach Systemversion bis zu 12,6 MByte große Paket ist für die Mac-OS-X-Versionen 10.3.5 Server, 10.3.5 Client, 10.3.4 Server, 10.3.4 Client, 10.2.8 Server und 10.2.8 Client verfügbar. Anwender von Mac OS X erhalten die Updates auch über die Funktion zur Software-Aktualisierung des Betriebssystems.

Details zu dem neuen Sicherheits-Update beschreibt Apple in dem Knowledgebase-Eintrag zu Mac-OS-X-Securityfixes. Unter anderem gibt es in den Server-Paketen eine Aktualisierung für den Webserver Apache 2, mit dem "eine Reihe von DoS-Verwundbarkeiten" korrigiert werden sollen. Bugfixes für CoreFoundation korrigieren eine Lücke, mit der Angreifer automatisch privilegierte Programme laden und erweiterte Rechte erlangen können; eine weitere Lücke könnte zum Ausführen beliebigen Codes genutzt werden. Bugfixes für den Webbrowser Safari beispielsweise beheben einen JavaScript-Fehler mit Mac OS X 10.2.8; für alle Systeme aktualisiert Apple den Browser so, dass Phishing mit manipulierten Frames unmöglich werden soll. Auch die kürzlich bekannt gewordenen Fehler in Kerberos, das zur sicheren Authentifizierung im Netzwerk dient, korrigiert Apple mit dem Update-Paket, weist aber darauf hin, dass die Mac-OS-X-Implementationen von Kerberos für den damals ebenfalls bekannt gewordenen Double-Free-Fehler im ASN.1-Decoder des Key Distribution Center (KDC) nicht anfällig sind.

Weitere, in dem Knowledgebase-Artikel näher erläuterte Korrekturen betreffen den Umgang mit X.509-Zertifikaten bei IPSec, Denial-of-Service und Code-Ausführung durch Angreifer bei lukemftpd und Passwort-Probleme bei OpenLDAP. Auch für OpenSSH, PPPDialer, den Quicktime Streaming Server, rsync, SquirrelMail und tcpdump sind in dem Update Korrekturen integriert. (jk)