Schwache Rechtevergabe auf Apples Remote-Desktop
Apples Remote-Desktop-Admin-Server setzt die Rechte von Paketen wenig restriktiv, die auf den Clients installiert werden. Lokale Anwender auf dem Remote-Desktop-Admin-System können dadurch diese Pakete manipulieren.
Apple hat eine Sicherheitsmeldung und Updates zum Remote-Desktop herausgegeben. Der Remote-Desktop-Admin-Server setzt die Rechte von Paketen wenig restriktiv, die vom Server auf Clientrechnern installiert werden. Lokale Anwender auf dem Remote-Desktop-Admin-System können dadurch diese Pakete manipulieren und so Befehle mit root-Rechten auf den Clients ausführen, sofern Clients installiert oder aktualisiert werden.
Der Fehler betrifft den Remote-Desktop in Version 3.0. Apple stellt jetzt aktualisierte Pakete der Version 3.1 zum Download bereit, die Administratoren eines Remote-Desktop-Admin-Servers einspielen sollten, sofern auch andere Benutzer Zugriff auf den Rechner haben.
Siehe dazu auch:
- About the security content of Apple Remote Desktop 3.1, Sicherheitsmeldung von Apple
- Download des Remote Desktop Servers 3.1
- Download des Remote Desktop Clients 3.1
(dmk)