Die Details zu Apples Security Update 2010-005

Apple schließt eine Reihe von Sicherheitslücken -- wie leider üblich mit Verspätung im Vergleich zu anderen Anbietern von Betriebssystemen (siehe Seite 2 in diesem Artikel).

Seit 24. August 2010 ist Security Update 2010-005 erhältlich. Die Installation wird allen Nutzen von Mac-OS X 10.5.8 oder 10.6.4 dringend empfohlen, da Appel damit neun Sicherheitslücken schließt, die sich teilweise relativ einfach für einen Angriff auf Mac-OS X nutzen lassen. Das Update ist 84 MB groß.

Zwei Monate nach der ersten Veröffentlichtung liefert Apple damit eine neue Version der Bibliothek "libpng" aus, die zur Programmiersprache PHP gehört. Im Security Update 2010-005 ist Version 1.4.3 von libpng enthalten. Alle älteren Version von libpng enthalten einen Fehler, den man mit einem manipulierten PNG-Bild nutzen kann. Ähnliche Fehler stecken in der Anti-Virensoftware Clam AV (vor Version 0.96.1) und PHP (vor Version 5.3.2). Allerdings ist Apple auch hier schon wieder hinterher: Security Update 2010-005 enthält nur Clam AV 0.96.1; aktuell ist aber die Version mit der Endziffer 2.

PHP 5.3.2 ist sogar schon seit März 2010 erhältlich, findet aber erst jetzt den offiziellen Weg auf Macs mit Mac-OS X 10.6.4. Aktuell aber ist auch dort die Version 5.3.3.

Wer professionell auf diese Softwarebibliotheken angewiesen ist, sollte deshalb überlegen, selbst aktiv zu werden und die Updates von Hand zu installieren. Empfehlenswert ist dieser Weg aber (wegen der Komplexität der Installation) nur für Unix-Profis.

Zusätzlich enthält Security Update 2010-005 drei neue Versionen von Software, die Apple selbst entwickelt: Core Graphics verschluckt sich nicht mehr an PDF-Dateien und Apple Type Services nicht an präparierten Schriften (beide Fehler wurden für den iPhone-Hack auf jailbreakme.com genutzt). Zusätzlich sind Abhörversuche über einen Fehler in Corefoundation nicht mehr möglich und "libsecurity" lässt sich keine angeblich sicheren Internet-Adressen unterschieben.