Apple-Patch schließt Pwn2Own-Lücke in Mac OS X
Das Update schließt eine Lücke, durch die sich über den Browser Safari Code in ein System schleusen und starten lässt.
- Daniel Bachfeld
Apple hat das Sicherheits-Update 2010-003 für Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.3 und Mac OS X Server v10.6.3 veröffentlicht, das eine während des Hackerwettbewerbs Pwn2Own bekannt gewordene Lücke schließt.
Der Hacker Charlie Miller hatte die Lücke ausgenutzt, um via Safari in ein Mac-System einzudringen und damit den Preis in dieser Kategorie gewonnen. Anders als zunächst angenommen handelt es sich jedoch nicht um eine Safari-Lücke, sondern um einen Fehler im Apple Type Service des Betriebssystem. Mit präparierten, eingebetteten Zeichensätzen in Dokumenten lässt sich laut Apple Code in ein System schleusen und starten.
Siehe dazu auch:
- About the content of Security Update 2010-003
- Pwn2own: iPhone gehackt – Internet Explorer 8, Firefox und Safari auch
- Mac OS X: "geringeres Risiko, aber letztlich unsicherer"
- Pwn2Own 2010: 100.000 Dollar Kopfgeld für Browser- und Handy-Lücken
(dab)
