Sicherheits-Update für Mac OS X verfügbar

Apple hat das Sicherheits-Update 2010-001 für Leopard (Mac OS X 10.5.8, Client und Server) und Snow Leopard (Mac OS X 10.6.2 Client und Server) veröffentlicht, das insgesamt 12 Sicherheitslücken schließt. Allein sieben davon entfallen auf Lücken im Flash-Player-Plug-in von Adobe, durch die ein Angreifer seinen Code in den Rechner schleusen und starten kann. Adobe hat die Lücken offiziell bereits Anfang Dezember mit der Flash-Player-Version 10.0.42.34 beseitigt. Weitere Buffer Overflows in CoreAudio, ImageIO und Image RAW ermöglichen Angreifern ebenfalls, Code in den Rechner zu kopieren und auszuführen. Dazu genügt es, dass ein Opfer eine manipulierte MP4-, TIFF- oder DNG-Datei öffnet. Die Lücke in ImageIO betrifft allerdings nur Leopard.

Daneben beseitigt das Update noch eine DoS-Schwachstelle im Druckdienst CUPS und deaktiviert in OpenSSL TLS-Renegotiation, um die Auswirkungen der seit Längerem bekannten Schwachstelle im TLS-Protokoll zu minimieren. Die fehlerhafte Implementierung der C-Funktion dtoa (double to ascii) zur Umwandlung von Gleitkommazahlen in Zeichenketten bleibt indes weiterhin ungepatcht. Durch die Schwachstelle könnte ein Angreifer durch Angabe bestimmter Formatierungszeichen in Print-Funktionen einen Heap Overflow provozieren und so eigenen Code in ein System einschleusen und starten. Bislang hat aber offenbar niemand eine Anwendung für Mac OS X gefunden, in der der Fehler zum Tragen kommt.

Das Client-Update für Leopard ist rund 160 MByte groß, Snow Leopard bringt hingegen gerade mal 22 MByte auf die Waage.


Siehe dazu auch:

• About Security Update 2010-001, Beschreibung von Apple
• Lösung für Schwachstelle im Design von SSL/TLS in Sicht
  
• Schwachstelle in Mac OS X seit Monaten ungepatcht
• Mehrere Löcher im Adobe Flash Player geschlossen