Neue Bugfixes und Sicherheitskorrekturen für Mac OS X
Mit Mac OS X 10.5.4 bringt Apple einige Bugfixes sowie Verbesserungen bei Stabilität und Performance. In Mac OS X 10.5.x und 10.4.x schließt Apple zudem 13 Sicherheitslücken.
- Jürgen Kuri
Für die neueste Inkarnation von Apples Betriebssystem Mac OS X steht ein Update zur Verfügung: Version 10.5.4 behebt Bugs und soll laut Apple Performance und Stabilität verbessern. Zudem werden Sicherheitslücken in Mac OS X 10.5.x (Leopard) und 10.4.x (Tiger) geschlossen.
Die Bugfixes, die Apple in einem Knowledgebase-Dokument auflistet, betreffen vor allem iCal und Spaces, bei der WLAN-Unterstützung hat Apple Fehler korrigiert, die die Zuverlässigkeit beeinträchtigen. Im Webbrowser Safari wurden zudem beispielsweise Probleme mit abgesicherten Webseiten behoben. Zusätzlich hat Apple auch Fehler in der Server-Variante von Mac OS 10.5.x korrigiert.
Mit dem Update 10.5.4 und einem separaten Paket für Mac OS X 10.4.11 behebt Apple einige Bugs, die die Sicherheit des Systems gefährden. Manche Sicherheitskorrekturen betreffen nur Mac OS X 10.4.11. Dazu gehört ein Fehler (CVE-2008-2308), durch den mittels fehlerhafter Mount-Informationen für Volumes Angreifer Anwendungsabstürze provozieren und beliebigen Code ausführen können. Auch führt Apple zusätzliche Kontrollen von heruntergeladenen Dateien ein, um das Unterschieben von Dateien während der Überprüfung von Download-Links zu verhindern (CVE-2008-2311). Weitere korrigierte Fehler betreffen die Rechteausweitung lokaler User (CVE-2008-2313), zudem werden diverse Bugs in Tomcat behoben.
Nur Mac OS X 10.5.x weist weitere Sicherheitslöcher auf, die Apple nun ebenfalls geschlossen hat. Dazu gehört ein Bug (CVE-2008-2310) in c++filt, das dazu dient, C++- und Java-Symbole zu dekodieren. Der Fehler konnte von Angreifern zur Ausführung beliebigen Codes ausgenutzt werden. Zudem konnte ein Anwender, der physischen Zugriff auf ein System hat, unter bestimmten Umständen ein gesperrtes System ohne Passwort entsperren (CVE-2008-2314). Weitere behobene Fehler betreffen die Behandlung von JavaScript-Arrays durch WebKit (CVE-2008-2307) und Abstürze von Anwendungen durch manipulierte UDP-Pakete (CVE-2007-6276).
Zusätzliche behobene Sicherheitsbugs betreffen sowohl Mac OS X 10.4.x als auch Mac OS X 10.5.x. Unter anderem warnt das System nun auch vor potenziellen Sicherheitsgefahren beim Öffnen von xht- und xhtm-Dateien (CVE-2008-2309), ein Fehler in der Authentifizierung bei SNMPv3 (CVE-2008-0960) und in der Behandlung von SMB-Paketen (CVE-2008-1105) sowie diverse Bugs (CVE-2008-2662, CVE-2008-2663, CVE-2008-2664, CVE-2008-2725, CVE-2008-2726) in der Ruby-Implementierung wurden behoben.
Die Updates sind sowohl für die Client- als auch für die Server-Version von Mac OS X 10.5.x verfügbar; es gibt sie als Paket für Mac OS X 10.5.3 und als Combo-Update für Systeme ab Version 10.5. Das Security-Update für Mac OS X 10.4.x setzt Version 10.4.11 voraus und ist sowohl für Intel- als auch für PowerPC-Systeme erhätlich.
Siehe dazu auch:
- About the Mac OS X 10.5.4 update,Knowledgebase-Dokument von Apple
- About the Mac OS X Server 10.5.4 Update, Knowledgebase-Dokument von Apple
- About the security content of Security Update 2008-004 and Mac OS X 10.5.4, Informationen von Apple zu den Sicherheitsupdates für Mac OS X 10.4.11 und 10.5.x
- Apple Downloads, Support-Website von Apple mit den aktuellen Updates
(jk)
