Apple dichtet Lücken im iPhone und Mac OS X ab

Apple hat Sicherheitsupdates für das iPhone, für Mac OS X und für die Betaversion von Safari unter Windows beziehungsweise das WebKit unter Windows und Mac OS X herausgegeben. Allein im Betriebssystem Mac OS X schließt der Hersteller mit dem Update 2007-007 Schwachstellen in 16 Komponenten, im iPhone behebt Apple fünf Fehler. Einige davon können Angreifer nutzen, um fremden Programmcode einzuschleusen und auszuführen.

In Mac OS X kann die Java-Schnittstelle zu CoreAudio Angreifern erlauben, mit manipulierten Java-Applets auf Webseiten beliebige Speicherbereiche freizugeben, außerhalb der Speichergrenzen von CoreAudio zu lesen und zu schreiben sowie die Instantiierung und Manipulationen von Objekten außerhalb der eigenen Speicherbereiche. Das ermöglicht ihnen die Ausführung von Schadcode. Auch das Öffnen von manipulierten PDF-Dateien kann aufgrund eines Ganzzahlüberlaufs im PDFKit bei der Verarbeitung derartige Auswirkungen haben. Präparierte Quartz-Composer-Dateien können ebenfalls fremden Code einschleusen. In iChat und im mDNSResponder hatte Apple bereits mit dem Sicherheitsupdate 2007-005 Schwachstellen bei der Verarbeitung manipulierter UPnP-IGD-Pakete geschlossen, mit denen Programme eigentlich Portweiterleitungen auf NAT-Routern einrichten. Offenbar hat der Patch die Lücke aber nicht korrekt geschlossen, da Apple mit dem aktuellen Update einen neuen Patch für die beiden Programme einspielt.

Bzgrep und zgrep, die zu den Paketen bzip2 beziehungsweise gnuzip gehören, kommen bei der Verarbeitung präparierter Dateinamen aus dem Tritt, was zur Ausführung von eingeschmuggeltem Code führen kann. Das Update für die mitgelieferte Samba-Version behebt Fehler, durch die Angreifer Schadcode ausführen, Shell-Befehle absetzen oder die Quota-Beschränkungen umgehen können. Weitere Schwachstellen betreffen das Webkit. In den Perl Compatible Regular Expressions (PCRE), die Safari für seine JavaScript-Engine nutzt, lässt sich ein Heap Overflow provozieren und dadurch fremder Code ausführen. Außerdem hat Apple die Prüfung gültiger Domain-Namen verbessert, die verhindern soll, dass Anwendern Phishing-URLs als vertrauenswürdige URLs vorgegaukelt werden können. Aufgrund der Unterstützung von International Domain Names (IDN) war es möglich, dem normalen Zeichensatz ähnlich aussehende Zeichen in eine URL einzubauen. So sieht etwa das kyrillische a dem westeuropäischen a täuschend ähnlich.

Die Komponenten CFNetwork und WebCore enthalten Fehler, durch die sie Cross-Site-Scripting-Attacken ermöglichen. Außerdem können Angreifer mit präparierten FTP-Links beliebige Kommandos vom FTP-Client ausführen lassen. Apple behebt auch Fehler in OpenSource-Software von Drittherstellern. So dichten neue Versionen von cscope, einem Quellcode-Browser für Entwickler, Kerberos, PHP 4 und Tomcat zahlreiche Sicherheitslecks in den Paketen ab.

Auch das iPhone bekommt ein Sicherheits-Update spendiert, um fünf Lücken zu schließen. Dabei stehen alle im Zusammenhang mit den Webfunktionen des Gerätes. Zwei der Lücken sind laut Bericht kritisch und ermöglichen Apple zufolge das Einschleusen und Ausführen von Code. So betrifft die Lücke in der PCRE-Bibliothek auch das iPhone. In WebKit führt das Rendern bestimmer Frames zu einer ungültigen Typen-Konvertierung, in dessen Folge eine Speicherverletzung auftritt. Im günstigsten Fall schmiert die Anwendung nur ab. Im schlimmsten Fall führt es zu einer Kompromittierung des iPhones. Zudem wurden eine Cross-Site-Scripting- und eine Cross-Site-Request-Schwachstelle beseitigt, über die Angreifer etwa Cookies auslesen können. Schließlich wurde in Safari ebenfalls die Schwachstelle bei der Unterstützung von IDN behoben.

Die aktualisierte Safari-Beta behebt ebenfalls Schwachstellen in der PCRE-Bibliothek und bei der Anzeige von IDN. Unter Windows schließt die neue Version außerdem eine Sicherheitslücke beim Anlegen von Bookmarks, die zumindest einen Absturz des Browsers verursachen, möglicherweise aber auch zur Ausführung von beliebigen Code führen kann.

Das Sicherheits-Update für das iPhone von Apple lässt befürchten, dass "Web Based Attacks" demnächst nun nicht mehr nur auf Windows-Desktops abzielen, sondern sich auch verstärkt auf Mac-OS-X-Rechner und auf Mobiltelefone ausweiten. Waren Angriffe auf Handys aufgrund der heterogenen Landschaft bei den Mobiltelefonen bislang nur selten zu verzeichnen, könnte sich dies mit dem iPhone ändern – Attacken, die Lücken in dem Webbrowser Safari unter Windows oder Mac OS X nutzen, dürften oft auch mit dem iPhone funktionieren. Zudem hat Apple nach eigenen Angaben allein an den ersten beiden Verkaufstagen 270.000 iPhones abgesetzt. Damit wird das Gerät für Virenautoren äußerst interessant.

Siehe dazu auch:

• About Security Update 2007-007, Übersicht zum Sicherheitsupdate für Mac OS X von Apple
• About the security content of iPhone v1.0.1 Update, Übersicht zum Sicherheitsupdate für das iPhone
• About the security content of Safari 3 Beta Update 3.0.3, Zusammenfassung zum Sicherheitsupdate für Safari

(dab/c't)/ (dmk)