Security-Fixes für Mac OS X [Update]

Für Apple-User hat die Update-Orgie noch kein Ende: Nach der Aktualisierung auf Version 10.3.2 der jüngsten Inkarnation von Apples Unix-Betriebssystem, neuen Versionen von Quicktime und iTunes sowie Updates für diverse Anwendungen stehen nun auch Security-Fixes an: Apple legt zwei Aktualisierungen mit Sicherheitskorrekturen vor, einmal ein 1,5 MByte umfassendes Paket für Mac OS X 10.2.8 ("Jaguar"), einmal ein 3,6 MByte großes Paket für Mac OS X 10.3.2 ("Panther"). Die Updates sind natürlich auch über die Funktion zur Software-Aktualisierung des Betriebssystems zu bekommen.

Apple gibt an, mit den Updates würden Fehler unter anderem im AFP-Server, in der ASN.1-Dekodierung für die PKI, in cd9660.util und beispielsweise in rsync behoben; eine Liste der betroffenen Systembereiche enthalten die zugehörigen Advisories für Mac OS X 10.3.2 und 10.2.8. Das Dokument mit Details zu Security-Fixes für Mac OS X hat Apple mittlerweile ebenfalls auf den Stand des Updates 2003-12-19 gebracht, darin sind Detaisl zu den einzelnen Fehlerkorrekturen zu finden.

Die Bugfix-Palete schließen unter anderem mit einer Aktualisierung der Standard-Konfiguration bei den Verzeichnis-Diensten eine Lücke bei Einsatz von DHCP, die Einbrechern unter bestimmten Umständen freien Zugang zu einem Mac-OS-X-Rechnern ermöglichten. Der Fehler im ISO-9660-Dateisystem-Utility "cd9660.util" wiederum wurde vor kurzem erst in einem Advisory auf Bugtraq gemeldet. Und den in rsync entdeckten Fehler beispielsweise nutzten Angreifer Anfang Dezember aus, um in die Server des Gentoo-Projekts einzudringen. Beim ASN.1-Parsing (Abstract Syntax Notation), notwendig zum Analysieren der ausgetauschten Zertifikate etwa bei OpenSSL, wurden in letzter Zeit diverse Fehler entdeckt. Apple empfiehlt allen Mac-OS-X-Anwendern, die neuen Security-Fixes (als 2003-12-19 ausgewiesen) zu installieren. (jk)