Erstes Update für Mac OS X 10.3

Kaum offiziell von Apple freigegeben, kann man sich schon die erste Aktualisierung besorgen: Das Security Update 2003-10-28 von Apple für Panther, die neueste Inkarnation von Mac OS X, beseitigt eine Sicherheitslücke. Es handelt sich um einen Fehler bei Quicktime Java in Mac OS X 10.3 (sowohl der Client- als auch der Server-Version), der dazu führen kann, dass Angreifer unberechtigt Zugriff auf das System erhalten.

Details zu der System-Aktualisierung findet sich im zugehörigen Artikel von Apples Knowledge Base. Das Security Update für Mac OS X 10.3 gibt es bislang nur über die Betriebssystemfunktion zur Softwareaktualisierung. Separate Pakete zum manuellen Download stellt Apple noch nicht bereit, sie sollten aber wie üblich in Kürze folgen.

Der Sicherheitsdienstleister @stake meldet zudem in seinen Advisories drei Schwachstellen bis einschließlich Mac OS X 10.2.8. Unter gewissen Umständen behält der Finder nicht die Berechtigungen eines Folders bei, der von einem als Volume gemounteten Disk-Image kopiert wird. Außerdem kann man an der Kommandozeile zu lange Argumente übergeben, die beispielsweise zum Absturz des Systems führen können. Auch ist es möglich, mit Core-Dumps und manipulierten symbolischen Links beliebige Dateien zu überschreiben. Allerdings muss ein Angreifer lokalen Zugriff haben, entweder an der Konsole oder mit einer Shell. @stake empfiehlt zur Behebung der Lücken das Upgrade auf Mac OS X 10.3, das diese Fehler (auch laut dem Security-Advisory von Apple) nicht mehr enthält und darüber hinaus unter anderem Sicherheitslücken in OpenSSH, ktrace, nfs, zlib, der Mail-Anwendung und im Dock behebt. (jk)