Mac-Update schließt 15 Sicherheitslücken [Update]
Unter anderem beseitigt Apple die zwei kürzlich gemeldeten Schwachstellen im Web-Browser Safari und bei Apple-Mail, bei denen Shell-Skripte ohne Nachfrage gestartet werden.
Apple hat Updates für Mac OS X 10.3.9 und 10.4.5 herausgegeben, die insgesamt 15 teils kritische Sicherheitslücken schließen sollen. Dazu gehören auch die zwei kürzlich gemeldeten Schwachstellen im Web-Browser Safari und bei Apple-Mail, bei denen Shell-Skripte ohne Nachfrage gestartet werden. Nebenbei schließt das Update auch einen Buffer Overflow in Safari, der bei der Verarbeitung von bestimmtem JavaScript-Code auftritt sowie eine Cross-Domain-Scripting-Lücke, durch die JavaScript im Kontext "Local Domain" läuft.
In der Bibliothek LibSystem und Webkit hat Apple ebenfalls Buffer Overflows beseitigt, die sich bereits beim Besuch einer Webseite provozieren ließen. Auch Apples Automounter lässt sich ohne Update ausnutzen, um über bestimmte Volume-Namen das System im LAN zu kompromittieren oder zum Absturz zu bringen. Ein Pufferüberlauf bei der Auswertung bestimmter Flags in rsync bietet eine weitere Möglichkeit, eigenen Code über das Netzwerk einzuschleusen und auszuführen.
Außerdem beseitigt der Patch Cross-Site-Scripting-Schwachstellen im Modul apache_mod_php und diverse Fehler in IPSec, FileVault, passwd und Perl, die sich für Denial-of-Service-Attacken ausnutzen lassen und/oder angemeldeten Nutzer höhere Rechte verschaffen. Im BOM-Framework ist zudem eine Directory-Traversal-Lücke gestopft, sodass Dateien in Archiven nicht mehr unkontrolliert in beliebige Verzeichnisse entpackt werden.
Zwei Erweiterungen sind in den zwischen 12 und 25 MByte großen Updates noch enthalten: Die Zugriffsrechte auf AES-verschlüsselte FileVault-Images sind zukünftig restriktiver, und der iChat-Client warnt nun bei der Übertragung unbekannter oder unsicherer Datenformate. Damit will der Hersteller der weiteren Verbreitung des Schädlings Leap.A einen Riegel vorschieben.
Update
Das Update hindert den Web-Browser Safari nicht nur an der automatischen Ausführung von Shell-Skripten. Zusätzlich warnt der Browser nun beim Download vor potenziell unsicheren Dateien. Ein etwa als JPG-Bild getarntes Skript erkennt er als mögliches Programm und fragt beim Anwender nach. Gleiches gilt für Apple-Mail, das beim Doppelklick auf den Anhang nachfragt. In beiden Fällen bekommt der Anwender aber weiterhin ein JPG-Icon zu Gesicht, da zur Anzeige die Dateiendung ausgewertet wird. Sinnvoller wäre, zumindest auf die Diskrepanz von Endung und Inhalt hinzuweisen.
Siehe dazu auch: (dab)
- Security Update 2006-001 Mac OS X 10.4.5 (PPC), Information von Apple
- Security Update 2006-001 Mac OS X 10.4.5 Client (Intel), Information von Apple
- Security Update 2006-001(10.3.9 Client) , Information von Apple
- Security Update 2006-001(10.3.9 Server), Information von Apple
- Apples Safari führt Shell-Skripte automatisch aus, Meldung auf heise Security
- Sicherheitslücke in Mac OS X betrifft auch Apples E-Mail-Programm , Meldung auf heise Security
