25 Lücken weniger in Mac OS X
Einige der Fehler lassen sich aus der Ferne ausnutzen, um Schadcode in ein System zu schleusen und zu starten. Einige ermöglichen es Angreifern, an System-Rechte auf einem Rechner zu gelangen.
- Daniel Bachfeld
Ingesamt 25 Sicherheitslücken in 20 Programmen schließt Apple mit seinem neuesten Sicherheits-Update für Mac OS X. Davon finden sich 18 in Mac OS X 10.3.9, 23 in Version 10.4.9. Fehler in Kerberos, network_cmds, VideoConference und Libinfo lassen sich aus der Ferne ausnutzen, um Schadcode in ein System zu schleusen und zu starten. Gleiches gilt für eine Schwachstelle im FTP-Daemon, allerdings muss der Angreifer dazu bereits authentifiziert sein. Bei einer weiteren Lücke in Libinfo genügt es schon, dass ein Anwender eine präparierte Webseite aufruft, um etwa einen Schädling untergejubelt zu bekommen.
Vorsichtig müssen Apple-Anwender auch beim Öffnen bestimmter Dateien oder Images sein. Präparierte Tar-Archive, UFS-Images, Help-Dateien und Installer-Pakete können beim Verarbeiten Code auf den Rechner schreiben und starten. Darüber hinaus gibt es zahlreiche Lücken, über die ein Anwender mit eingeschränkten Rechten an System-Rechte gelangen kann – seit dem Month of Apple Bugs eine weithin bekannte grundsätzliche Schwäche von Mac OS X. Derartige Fehler finden sich in AFP, CarbonCore, SMB, LoginWindow und WebDAV. Die Updates schließen diese und alle anderen genannten Lücken. Apple lässt aber auch mit diesem Update weiterhin einige der während des MOAB gefundenen Local-Privilege-Escalation-Lücken offen.
Für 10.3.9 Server ist mit einem Download von rund 54 MByte zu rechnen, Der Client 10.3.9 benötigt 38 MByte. Anwender von Mac OS X 10.4.9 müssen nicht so lange laden, die PPC-Version wird mit 9 MByte veranschlagt, die Universal-Version benötigt immerhin noch 16 MByte.
Siehe dazu auch:
- Security Update 2007-004, Fehlerbericht von Apple
(dab)
