Patchfeuerwerk für Apples Quicktime und Mac OS X

Apple machts ähnlich wie Microsoft und veranstaltet im Mai einen Patchday: Das Unternehmen schließt mehr als 25 schwerwiegende Lücken in seinen Betriebssystemen und neun im populären Quicktime Player.

Im Quicktime-Mediaplayer finden sich mehrere Schwachstellen, über die Angreifer mit präparierten Dateien Schadcode in betroffene Mac-OS-X- sowie Windows-Systeme einschmuggeln könnten. Player vor der neuen Version 7.1 stolperten über manipulierte JPEG-, FlashPix-, PICT- und BMP-Bilder sowie über QuickTime-, Flash-, H264-, MPEG4- und AVI-Filme. Angreifer konnten ihren Opfern beispielsweise mit Webseiten oder E-Mails, die manipulierte Dateien enthielten, über jede einzelne der Schwachstellen Schadcode unterjubeln, der im Benutzerkontext ausgeführt wurde.

Die Bugfix-Liste für die Mac-OS-X-Betriebssysteme ist umfangreich. Auch die von Tom Ferris kürzlich gemeldeten Lücken scheinen mit den Updates geschlossen zu sein. In Mac OS X 10.3.9, 10.4.6 sowie den zugehörigen Servervarianten schließt Apple Lücken im AppKit und ImageIO, durch die defekte GIF- und TIFF-Bilder zur Ausführung von Schadcode führen konnten. Weiterhin beseitigt das Unternehmen Schwachstellen im Archiv-Handler BOM. Hier ließen sich manipulierte Archive zur Ausführung von Schadcode oder zum Überschreiben beliebiger Dateien nutzen.

In der CoreFoundation konnte das Registrieren von nicht vertrauenswürdigen Bundles sowie API-Aufrufe zur Zeichenkonvertierung im Dateisystem die Ausführung von eingeschleustem Code provozieren. Dieselben Konsequenzen hatte unter Umständen die Ausführung von Internet Locations im Finder, also von Dateien, die auf eine Internetadresse verweisen. Angemeldete FTP-Nutzer waren ebenfalls in der Lage, beliebigen Code auf dem Rechner auszuführen. Im Flash-Player konnten manipulierte Flash-Dateien auch Codeausführung verursachen.

Mit präparierten Mails im MacMIME-Format oder mit fehlerhaften Farbinformationen im Rich-Text-Format war es Angreifern möglich, dem Benutzer von Apples Mail Schadcode unterzuschieben. Mit denselben Auswirkungen stolperte Quickdraw über defekte PICT-Bilder. Anwendungen konnten die Sperrung von Keychains umgehen und auf deren Inhalte zugreifen. Der safe-levels-Mechanismus zur Absicherung von Ruby-Skripten ließ sich unter Umständen von Angreifern umgehen.

Nur in Mac OS X 10.4.6 und der Serverversion konnten Anwendungen in derselben Window-Session Inhalte von gesicherten Textfeldern auslesen. Bösartige Webseiten waren durch Fehler in CFNetwork, in den LaunchServices sowie in Safari in der Lage, beliebigen Code auf dem Rechner auszuführen; Ursache war die fehlerhafte Verarbeitung von Archiven mit aktivierter Option, sichere Dateien nach dem Download zu öffnen.

Ebenso konnte sich das Betrachten von präparierten JPEG-Bildern durch einen Fehler in ImageIO auswirken. Ein Fehler in libcurl, der sich zum Einschleusen von Schadcode eignet, findet sich ebenfalls in Mac OS X 10.4.6 und 10.4.6 Server. Etwas skurril mutet eine Schwachstelle in der Preview an, durch die Angreifer mit einer sorgsam präparierten Verzeichnisstruktur Code einschleusen konnten.

Eine ClamAV-Schwachstelle in Mac OS X 10.4.6 Server könnten Angreifer zum Ausführen von Schadcode mit den Rechten von ClamAV missbrauchen, außerdem führte ein Fehler im MySQL-Manager dazu, dass das root-Passwort einer Datenbank leer sein und so jedermann ohne Passwort auf Datenbanken zugreifen konnte.

Schließlich beseitigt Apple noch Sicherheitslücken im Quicktime Streaming Server. Präparierte Real-Time-Streaming-Protokoll-Anfragen ließen sich dazu missbrauchen, den Absturz des Servers oder das Ausführen von Code auszulösen. Mittels manipulierte Quicktime-Dateien erreichten Angreifer einen Absturz der Server unter Mac OS X 10.3.9 und 10.4.6 Server.

Siehe dazu auch: (dmk)

• QuickTime 7.1 Update, Sicherheitsmeldung von Apple
• Security Update 2006-003, Sicherheitsmeldung von Apple über Mac-OS-X-Updates