Sicherheitsupdates von Apple

Mit dem Security-Update 2006-007 beseitigt Apple wieder zahlreiche Fehler in den Mac-OS-X-Betriebssystemen. Einige der Fehler sind kritisch und ermöglichen, Schadcode einzuschleusen.

In Pocket speichern vorlesen Druckansicht 64 Kommentare lesen
Lesezeit: 2 Min.
Von

Apple beseitigt wieder zahlreiche Fehler in den Mac-OS-X-Betriebssystemen. Einige der Fehler, die das Sicherheitsupdate 2006-007 behebt, sind kritisch und ermöglichen Angreifern, Schadcode einzuschleusen.

Mit dem Update schließt Apple unter anderem die Lücke in den AirPort-Treibern für Orinoco-WLAN-Hardware, durch die böswillige Individuen in WLAN-Reichweite durch präparierte Pakete die vollständige Kontrolle über betroffene Systeme (eMac, iBook, iMac, PowerBook G3 und G4 sowie PowerMac G4 mit der originalen AirPort-Karte von Apple) übernehmen können.

Im Font-Server Apple Type Services schließt der Hersteller mehrere Schwachstellen. Präparierte Zeichensatz-Dateien können zur Ausführung beliebigen Codes führen. Durch manipulierte Anfragen an die Dienste können lokale Anwender Code mit Systemrechten ausführen. Außerdem sind sie durch einen Fehler bei der Erstellung von Protokolldateien in der Lage, beliebige Dateien mit Systemrechten anzulegen oder zu überschreiben.

Der Finder kommt mit defekten .DS_Store-Dateien nicht zurecht. Angreifer können Verzeichnisse mit präparierten .DS_Store-Dateien freigeben, die beim Durchstöbern mit dem Finder einen Pufferüberlauf auf dem Heap provozieren und so eingeschleusten Code ausführen. Bei aktiviertem PPPoE können Anwender im lokalen Netz einen Pufferüberlauf auslösen und so einen Absturz oder die Ausführung von Schadcode veranlassen.

Das Anzeigen von manipulierten HTML-Seiten mit auf Webkit basierenden Anwendungen wie Safari, Mail oder dem Dashboard kann dazu führen, dass auf ein bereits dealloziiertes Objekt zugegriffen wird. Dies führt bestenfalls zum Absturz der Anwendung, kann aber auch die Ausführung beliebigen Schadcodes auslösen.

Apple aktualisiert auch Software von Drittherstellern, in der Sicherheitslücken aufgetaucht sind. Dazu gehören der Virenscanner ClamAV, das Packprogramm gnuzip, die Verschlüsselungs-Suite OpenSSL, die Interpretersprachen Perl und PHP sowie der Samba-Server. Weitere Schwachstellen behebt das Update im CFNetwork, im FTP-Server, im Installer, im Security-Framwork und im VPN-Server.

Das Update sollte Apple-Nutzern per automatisches Update bereits angeboten werden. Da mehrere der Sicherheitslücken recht kritisch sind, sollten Anwender die Aktualisierung ihres Systems baldmöglichst vornehmen.

Siehe dazu auch:

(dmk)