Apple schließt zehn Sicherheitslücken in Panther und Tiger
Über präparierte GIF- und PICT-Bilder lässt sich Code in ein Mac-System schleusen und ausführen. Dazu genügt bereits der Aufruf einer manipulierten Webseite mit Safari oder die Ansicht einer HTML-Nachricht mit Mail.
Apple hat zwei Sicherheits-Updates für Mac OS X 10.3.9 (Panther) und 10.4.2 (Tiger) veröffentlicht, die insgesamt zehn Sicherheitslücken beseitigen sollen. Zwei davon beruhen auf Buffer Overflows im QuickDraw Manager und ImageIO. Über präparierte GIF- und PICT-Bilder lässt sich Code auf ein System schleusen und ausführen. Dazu genügt bereits der Aufruf einer Seite mit Safari oder die Ansicht einer Nachricht mit Mail.
Des Weiteren fixt Apple einen Fehler in QuickTime for Java, durch den Applets beliebige Systemfunktionen aufrufen können und Zugriff auf das System erhalten. Tiger ist von diesem Problem aber nicht betroffen. Bereits vergangene Woche gab der Hersteller Updates heraus, um kritische Sicherheitslücken in der Java-Laufzeitumgebung unter Mac OS X zu schließen.
Auch ist nun die fünf Wochen alte Lücke in den xmlrpc/utils-Modulen der Skriptsprache Ruby geschlossen. Obendrein hat Apple sich zweier Schwachstellen in Mail.app entledigt. Unter anderem fügte die Applikation bei Einsatz von Auto-Reply-Regeln in Antworten auf verschlüsselte Mails unter Umständen Auszüge der Original-Mail im Klartext ein.
Schließlich ist ein Fehler im Security Agent behoben, durch den ein Angreifer unter anderem den Passwortschutz des Screensavers aushebeln konnte, um auf den Desktop eines angemeldeten Anwenders zuzugreifen. Das Update für Tiger ist 4 MByte groß, der Panther-Patch ist mit 7,1 MByte fast doppelt so groß.
Siehe dazu auch: (dab)
- About Security Update 2005-008 Fehlerreport von Apple
- Security Update Mac OS X 10.3.9 von Apple
- Security Update Mac OS X 10.4.2 von Apple
