974302

Die Details des Security Update 2007-007

01.08.2007 | 16:29 Uhr |

Manche Sicherheitsprobleme behebt Apple relativ zügig, mit anderen müssen wir längere Zeit leben. Das aktuelle Update behebt unter anderem einige Fehler, die den Browser unsicher machen.

Security Update 2002-08-20
Vergrößern Security Update 2002-08-20

Das 7. Sicherheits-Update in diesem Jahr schließt einige Lücke, die bisher in Mac-OS X 10.4.10 und zum Teil auch in 10.3.9 existieren. Zwei der behobenen Fehler stecken allerdings in Software, die nur mit der Server-Version des Betriebssystems ausgeliefert wird, konkret handelt es sich dabei um die Mail-Software Squirrel Mail und um den Java-Server Tomcat. Bei beiden wurden mehrere Probleme behoben, Apple liefert mit dem Update jetzt Version 1.4.10 respektive 4.1.36 aus und verweist für die Liste der damit behobenen Probleme auf die Internetseiten zu beiden Produkten www.squirrelmail.org/ und http://tomcat.apache.org/

Ähnlich wortkarg gibt sich Apple bei der Beschreibung zur geänderten PHP-Bibliothek. Nach dem Update erhält man Version 4.4.7, die Beschreibung dazu findet sich in Englisch auf www.php.net/

Drei weitere Probleme, die mit dem Update behoben werden, existieren nur in Mac-OS X 10.4 oder höher: Die drei Hintergrundprogramme mDNSResponder, PDFkit und Quartz Composer sind anfällig für überlange Variablen oder nicht korrekt definierte Variablen, was ein Angreifer nutzen kann, um jedes der drei Hintergrundprogramme zum Absturz zu bringen. Bei PDFkit genügt eine präparierte PDF-Datei, bei mDNSResponder braucht es ein bestimmtes Datenpaket, das nicht über Internet, sondern über das lokale Ethernet-Netz oder WLAN-Netz an den Mac geschickt wird. Und Quartz Composer, die Spielwiese für Bild- und Videoeffekte, lässt sich mit entsprechenden Bild- oder Videodateien aus dem Tritt bringen. Bei allen drei Problemen verweist Apple darauf, dass der Fehler im Test nur zu einem Absturz des jeweiligen Programms geführt hat, es aber dem Angreifer nicht möglich war, dabei im Hintergrund ein anderes Programm auszuführen. Ganz ausschließen lässt sich diese Möglichkeit aber - laut der Beschreibung von Apple - nicht.

In iChat verbirgt sich derselbe Fehler wie in mDNSResponder. Auch hier kann ein Angreifer die iChat-Software aus dem Tritt bringen, wenn er im lokalen Computernetz ein bestimmtes Datenpaket verschickt.

Die restlichen Fehler stecken in Mac-OS X 10.3 und 10.4, weshalb wir das Update allen Benutzern dieser beiden Betriebssysteme empfehlen.

Kein Update ohne Backup

WIE BEI JEDEM UPDATE GILT: Wer kein Backup seines Betriebssystem hat, sollte ein bis zwei Tage mit der Installation warten, damit sich zeigt, ob man sich mit dem Security-Update 2007-007 schwer wiegende neue Fehler auf den Rechner holt.

Unsere Tests auf einem iMac G5 und einem Macbook Pro zeigen bislang (Stand: 1.8.2007) keine Probleme.

Neben einigen Hintergrundprogrammen bezieht sich Apple in seiner Beschreibung des Updates vor allem auf vier Bereiche: Die Basisfunktionsbibliotheken für Netzfunktion (CFNetwork), für Audo (Core Audio) sowie die Hintergrundprogramme für das File Sharing mit Windows-Rechnern (Samba) und für die Darstellung von HTML-Seiten (Webcore und das übergreifende Webkit).

Fehler in CFNetwork und Core Audio

In CFNetwork behebt das Update zwei Schwachstellen: Erstens verhindert das Update, dass sich Befehle in FTP-Adressen verstecken lassen und unterbindet damit zum Beispiel, dass Benutzer und Kennwort für einen FTP-Server an einen anderen FTP-Server geschickt werden. Zweitens führt das Update eine neue Prüfung beim Datenaustausch mit HTTP-Servern durch, damit verhindert wird, dass ein Angreifer einen Internetsurfer mit einer präparierten HTTP-Antwort auf einen falschen Internet-Server lenkt.

In Core Audio hat Apple drei Teile geändert, damit Java-Programme beim Zugriff auf die Core-Audio-Bibliothek nicht länger einen Absturz des Java-Interpreters auslösen können. Wie weiter oben erwähnt kann jeder Absturz eines Programms dazu führen, dass der Angreifer direkten Zugriff auf den Prozessor und oder die Befehlszeile von Mac-OS X erhält. Laut Apple ließ sich dieser direkte Zugriff beim Absturz nicht herstellen, doch ganz ausschließen lässt sich die Möglichkeit nicht.

Fehler in Samba beziehungsweise Windows File Sharing

Von anderem Kaliber ist zumindest ein Fehler in Samba, jener Hintergrundsoftware, die aktiv wird, wenn man unter Mac-OS X (in Systemeinstellungen > Sharing) die Funktion "Windows File Sharing" aktiviert. Laut Apple ließen sich über ein bestimmtes Datenpaket Befehle an den Samba-Prozeß weiterleiten, der diese dann in der Befehlszeile von Mac-OS X ausgeführt. Zwar hat die Standardkonfiguration von Samba die Annahme dieser Datenpakete verhindert, doch wer Samba über die Befehlszeile von Mac-OS X aktiviert und konfiguriert hat, hat damit Angreifern möglicherweise eine Hintertür geöfffnet. Das Update blockiert mit einer zusätzlichen Prüfung der Datenpakete diese Art von Angriffen. Zugleich hat Apple zwei weitere Fehler in Samba behoben; einer verursachte einen Absturz der Samba-Software; der andere ließ sich nutzen, um mit Samba mehr Festplattenplatz zu belegen, als der Administrator für das File Sharing mit Windows-Computern vorgesehen hatte. Alle drei Fehler existieren in Mac-OS X 10.3 und Mac-OS X 10.4.

Fehler in den HTML-Basisbibliotheken

In den Bibliotheken Webcore und Webkit, die unter anderem von Safari, Mail und einigen anderen Programmen zur Darstellung von HTML-Seiten genutzt werden, hat Apple sechs Fehler behoben, darunter einem, der es bisher erlaubt, Java-Programme im Browser zu starten, obwohl in den Einstellungen von Safari (im Bereich "Sicherheit") die Option "Java aktivieren" nicht angekreuzt ist. Außerdem ließen sich Javascript-Befehle im Titel einer HTML-Seite verstecken, über ein Pop-up-Fenster die gerade geöffnete Internet-Adresse des eigentlichen Browser-Fensters auslesen und die Daten einiger globalen Variablen auslesen. Zwei zusätzliche Prüfroutinen im Update verhindern ab sofort, dass man Sonderzeichen in Internetadressen dazu nutzt, um einen Link zu konstruieren, der korrekt aussieht, in Wirklichkeit aber auf eine andere, gefälschte Internetseite verweist. Die zweite Prüfung verhindert, dass reguläre Ausdrücke in Javascript-Programmen genutzt werden, um den Browser andere Befehle unterzuschieben.

Fehler in Hintergrundprogrammen

Die beiden Programme zum Erzeugen von ZIP-Archiven (bzip2 und gnuzip) lassen sich durch bestimmte Dateinamen zum Absturz bringen. Apple hat bei beiden eine zusätzliche Prüfung für die Dateinamen eingeführt, damit beide nicht mehr abstürzen.

Beim Kerberos-Hintergrundprogramm wurde drei Sicherheitslücken behoben. Apple verweist lediglich auf die Internetseiten der MIT http://web.mit.edu/kerberos/ (Massachusetts Institute of Technology, Cambridge, USA), nennt aber nicht die Versionsnummer der Version von Kerberos, die mit dem Update installiert wurde.

Der Fehler im Unix-Programm cscope blieb längere Zeit unentdeckt. Apple liefert das Entwicklerwerkzeug cscope mit Mac-OS X 10.3 und Mac-OS X 10.4 aus, das Update auf Version 15.6 ist seit November 2006 verfügbar und kommt jetzt mit diesem Sicherheitsupdate auch auf Macs.

Fazit

Apple behebt weiter in regelmäßigen Abständen Probleme, die die Sicherheit von Mac-OS X gefährden. Die von einem deutschen Entwickler gefundene Lücke in Universal-Binary-Programmen ist mit dem jetzigen Update allerdings nicht behoben, so dass wir damit rechnen, dass vor Oktober (dem Termin für Mac-OS X 10.5) sicher noch ein weiteres Security-Update veröffentlicht wird.

0 Kommentare zu diesem Artikel
974302