Sicherheitsupdate für OS X Yosemite behebt Lücke im iCloud-Schlüsselbund

In Apples Passwortspeicherdienst steckten gleich mehrere Pufferüberläufe. Auch ein zweiter gefährlicher Bug wurde gefixt.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
Sicherheitsupdate für OS X Yosemite behebt Lücke im iCloud-Schlüsselbund

Erzeugung des iCloud-Schlüsselbunds unter OS X.

(Bild: Screenshot via Ars Technica)

Lesezeit: 1 Min.

Apple hat in der Nacht zum Donnerstag eine sicherheitsrelevante Aktualisierung für Nutzer der aktuellen OS-X-Version 10.10.2 (Yosemite) vorgelegt. Das Security Update 2015-003 wird per Mac App Store verteilt und kommt nur Tage nach einem größeren Patchpaket für den Browser Safari. Es schließt mehrere problematische Lücken.

Laut Release Notes war es so Angreifern im gleichen Netzwerk möglich, über "mehrere" Pufferüberläufe in Apples Passwortspeicherdienst iCloud-Schlüsselbund problematischen Code auf dem Mac auszuführen. Apple will daher das Bounds-Checking verbessert haben.

Ein zweites Problem betrifft das Framework IOSurface. Hier konnte eine böse Anwendung, die auf dem betroffenen Mac gestartet wird, unerwünschten Code sogar mit Systemprivilegien ausführen. Grund war ein "Type Confusion"-Fehler. Apple hat hier das Type-Checking verbessert.

Beide Bugs wurden nicht von Apple, sondern von externen Sicherheitsforschern entdeckt. Das Problem im iCloud-Schlüsselbund war Andrey Belenko von NowSecure aufgefallen, während der iOSurface-Fehler von Googles "Project Zero" entdeckt wurde. Details zur Nutzung des iCloud-Schlüsselbunds lesen Sie in Mac & i-Heft 1/2014. (bsc)