Apple veröffentlicht weiteres Security-Update für Mac OS X
Unter anderem behebt das Security-Update einen Fehler in Quicktime, den Angreifer zum Ausführen beliebigen Codes nutzen konnten; auch Fixes beispielsweise für den AFP-Server, das Drucksystem CUPS und ServerAdmin sind enthalten.
Ein neues Security Update steht auf Apples Website in Versionen für Mac OS X 10.2.8 und Mac OS X 10.3.5 (jeweils für Client und Server in einem Paket) bereit. Das Security Update 2004-09-30 genannte Paket wurde trotz des auf ein anderes Datum hindeutenden Namens von Apple am gestrigen Montag freigegeben. Neben den beiden Download-Paketen steht das Update auch über die Funktion zur Software-Aktualisierung des Betriebssystems bereit.
Unter anderem behebt das Update Fehler im AFP-Server von Mac OS X 10.3.5, mit dem etwa von autorisierten Usern gemountete Volumes über einen Gast-Account abgehängt werden können. Für Mac OS X 10.3.5 und 10.2.8 werden Fehler im Drucksystem CUPS korrigiert, die unter anderem dazu führen, dass Passwörter für Remote Printing in den Logfiles auftauchen oder ein Denial-of-Service-Angriff auf das Drucksystem möglich ist. Und ein schwerwiegender Fehler in der Behandlung von BMP-Images in Quicktime unter Mac OS X 10.3.5 und 10.2.8 führt zu einem Buffer Overflow, den Angreifer für das Ausführen beliebigen Codes nutzen können. Außerdem ersetzt die Installation des Updates das Beispielzertifikat für die SSL-Kommunikation zwischen Server und Client bei ServerAdmin durch ein lokal erzeugtes, eindeutiges Zertifikat, um das Belauschen der Kommunikation bei Beibehaltung des Beispielzertifikats zu verhindern. Apples Knowledgebase-Dokument zu Security-Updates beschreibt die Details zu den Sicherheitslücken, die durch die Bugfix-Sammlung korrigiert werden. (jk)
