Apple stopft zahlreiche Löcher in Tiger und Leopard
Die Updates schließen zahlreiche Lücken, von denen einige kritiscn sind. Auffällig ist diesmal der hohe Anteil an kritischen Lücken in Open-Source-Komponenten, die in den offiziellen Versionen bereits seit Langem geschlossen sind.
- Daniel Bachfeld
Apple hat das Sicherheits-Update 2008-007 veröffentlicht, das zahlreiche Sicherheitslücken in Mac OS X 10.4 (Tiger) und 10.5 (Leopard) schließen soll. Von einigen Lücken sind jedoch nur die Serverversionen betroffen, wie eine kritische Lücke in MySQL und ClamAV 0.93.3 sowie weniger kritische Lecks in Weblog und Tomcat-Webserver. Weitere kritische Lücken in PHP 4.4.8, dem Druckdienst CUPS, ColorSync, libxslt, PSNormalizer, Quicklook und im Editor vim sind sowohl in der Client- als auch der Server-Version zu finden und ermöglichen einem Angreifer beispielsweise durch manipulierte Dateien, eigenen Code in das System zu schleusen und zu starten.
Zu den weniger kritischen Schwachstellen in Mac OS X gehören mehrere Fehler in Apache, Postfix, launchd, im EAPOLController des Netzwerks und im Skript-Editor. Apple beseitigt mit dem Update auch eine DoS-Schwachstelle im Finder beim Zugriff auf präparierte Dateien auf dem Desktop, durch die der Finder ständig neu startet und somit die GUI lahmlegt. Zudem lässt sich nach der Aktualisierung eine Lücke in rlogin nicht mehr ausnutzen, um an Root-Rechte zu gelangen.
Außerdem hat Apple das Single-Sign-on-Tool sso_util überarbeitet, sodass es nun Passwörter aus Dateien akzeptiert. Die Updates aktualisieren auch einige Zertifikate. Die Updates sind je nach Version und Plattform zwischen 31 und 199 Megabyte groß und sowohl über das automatische Update als auch Apples Website erhältlich.
Auffällig ist diesmal der hohe Anteil an kritischen Lücken in Open-Source-Komponenten, die in den offiziellen Versionen bereits seit Langem geschlossen sind und von Apple erst mit einigen Wochen Verspätung beseitigt werden. PHP 4.4.9 ist beispielsweise seit zwei Monaten verfügbar und ohnehin abgekündigt. ClamAV 0.9.4 ist seit fünf Wochen verfügbar. Vor der Lücke in Tomcat hat das US-CERT bereits Mitte August gewarnt. Der Webserver Apache wird in Version 2.2.9 zwar von Apple seit Juni 2008 zum Download angeboten, in den Updates ist er aber erst jetzt enthalten. Allerdings ist er standardmäßig erst auf Leopard-Clients und -Servern vorhanden, dort aber nicht aktiv.
Siehe dazu auch:
- About Security Update 2008-007, Bericht von Apple
(dab)
