Apple liefert Update 10.5.5 für Mac OS X aus
Die Updates betreffen eine Reihe wichtiger Systemkomponenten. Einige Schwachstellen lassen sich auf ungepatchten Systemen auch übers Netz nutzen, teils sogar zum Einschleusen von beliebigem Schadcode.
- Christiane Rütten
Mit dem Update auf Mac OS X 10.5.5 hat Apple ein umfangreiches Sicherheits-Update seines Betriebssystems für Desktop-Rechner und Server vorgelegt. Die in dem über 300 MByte großen Paket enthaltenen Patches schließen Sicherheitlücken, durch die Angreifer unter Umständen lokal und übers Netz dem Rechner beliebige Befehle erteilen, sich unbefugten Zugriff auf Dateien und Systeminformationen verschaffen sowie Daten manipulieren und Systemkomponenten zum Absturz bringen können. Das Update erfordert nach dem Download einen Neustart des Systems.
Pufferüberläufe und andere Programmierfehler, die sich unter Umständen zur Ausführung von beliebigem Schadcode nutzen lassen, haben die Entwickler behoben im Schriftdienst Apple Type Services (ATS), den Bildbehandlungsbibliotheken für TIFF-, JPEG- und PNG-Grafiken, in VideoConference, Ruby, dem QuickDraw-Manager sowie der Programmierschnittstelle SearchKit. Die lokalen Namensauflösungsdienste von OS X haben die Entwickler dahingehend abgedichtet, dass die neuen Angriffe zum Vergiften des DNS-Zwischenspeichers nicht mehr funktionieren. Durch einen Fehler im Login-Fenster konnten sich Angreifer unbefugten Systemzugriff verschaffen und Passwörter ändern.
Fehler bei der Anmeldung an einem Active-Directory-Netzwerk, in Time Machine, OpenSSH, den Systemeinstellungen und im OS-X-Kernel können auf ungepatchten Systemen dazu führen, dass vertrauliche oder systeminterne Informationen preisgegeben werden. Vor der mit dem Update behobenen Schwachstelle in der OS-X-eigenen Dateifreigabe, durch die Angreifer übers Netz unbefugten Dateizugriff erlangen können, warnt inzwischen auch das US-CERT in einem eigenen Advisory.
Ein Update für den Finder verhindert bestimmte durch Netzwerkfreigaben ausgelöste Abstürze und der Dateieigenschaftendialog zeigt unter Umständen falsche Informationen an. Vornehmlich für Server-Installationen sind die Sicherheits-Patches für den DNS-Dienst BIND, den Virenscanner ClamAV, den Verzeichnisdienst OpenLDAP und den Wiki-Server interessant.
Doch das Update enthält nicht nur Security-Fixes. Gelöst wurden laut Apple unter anderem Authentifizierungsprobleme mit Kerberos sowie Samba und ein Problem, das zu unerwünschtem Aufwachen aus dem Standby-Modus führen konnte. Außerdem soll Spotlight nach dem Update schneller indizieren können. Weitere Bugfixes gab es für das Adressbuch, das Festplattendienstprogramm, iCal, Apple Mail, MobileMe und Time Machine. Die vollständige Liste befindet sich in der Update-Zusammenfassung.
Der Hersteller bietet das Update sowohl über die Softwareaktualisierung von OS X als auch über den Download-Bereich ihrer Website an. Mac-Nutzer sollten das Paket unverzüglich einspielen.
Siehe dazu auch:
- About the Mac OS X 10.5.5 Update, Zusammenfassung von Apple
- About the security content of Mac OS X v10.5.5 and Security Update 2008-006, Details zu den Sicherheits-Patches
- Mac OS X im heise Software-Verzeichnis
(cr)
