Apple schließt weitere Lücken in Mac OS X

Apple stellt ein neues Update 2006-002 für Mac OS X 10.4.5 Client und Server bereit, das drei teils kritische Sicherheitslücken in Mac OS X schließen soll. Eine davon ist erst seit dem letzten Update 2006-001 in Mac OS X zu finden. Beim Doppelklick auf bestimmte Dateianhänge tritt ein Buffer Overflow auf, über den sich Schadcode in das System schleusen und mit den Rechten des Anwenders starten lässt. Der Fehler ist mit dem Patch für Apples Mail reingerutscht, der das ungewollte Ausführen von Shell-Skripten verhindern sollte. Offenbar wurde der Patch aufgrund des Zeitdrucks nicht hinreichend getestet, sodass MIME-Encapsuled-Macintosh-Dateien im AppleDouble-Format mit langen Namen nun den Pufferüberlauf provozieren.

Die zweite Lücke tritt bei der Verarbeitung von Dokumenten auf, die JavaScript-Code enthalten. Unter bestimmten Umständen kann eine Webseite die Sicherheitsbeschränkungen umgehen, die den Zugriff auf Daten und Inhalte anderer aufgerufener Seiten verhindern sollen. Der Fehler tritt laut Hersteller im Zusammenhang mit Archiven auf, nähere Angaben macht er aber nicht.

Der dritte Fehler ergänzt den Browser Safari um weitere Tests, um festzustellen, ob eine heruntergeladene Datei sicher ist oder möglicherweise schädlich sein kann. Die mit Update 2006-001 ausgelieferten Tests waren nicht ausreichend, um den Anwender vollständig zu warnen und davor zu schützen, dass präparierte Shell-Skripte automatisch gestartet werden.

Darüber hinaus behebt das Update zwei nicht sicherheitsrelevante Fehler, die sich in das Update 2006-001 eingeschlichen hatten: SquirrelMail arbeitet nun wieder mit apache_mod_php zusammen, und rsync funktioniert wieder mit der --delete-Option. Diese Probleme werden für Mac OS X 10.3.9 durch ein separates Update beseitigt. Obendrein sollen nun keine Fehlalarme mehr beim Laden von Word-Dokumenten und Ordnern mit Icons aufteten.

Siehe dazu auch: (dab)

• About Security Update 2006-002, Beschreibung von Apple
• Mac OS X Downloads, Downloadseite der Updates