931388

Die Details des Sicherheitsupdates

26.01.2005 | 15:40 Uhr |

Apple hat sieben Lücken in Mac-OS X geschlossen.

Apple stellt seit Mittwoch, 26. Januar 2005, eines der allmonatlichen Sicherheitsupdates bereit. Anders als bei vielen vorhergehenden Updates stimmt die Dokumentation exakt mit dem Inhalt überein. Eine Analyse der veränderten Dateien zeigt, dass nur die sieben Komponenten verändert wurden, die in der Beschreibung zum Update erwähnt werden ("About Security Upddate 2005-001 for Mac OS X").

Wer nicht mit der aktuellen Variante 10.3.7 von Mac-OS X arbeitet, sondern mit 10.2.8, bekommt nur drei der sieben Änderungen:

- Ein Update für Colorsync, das verhindert, dass falsch aufgebaute ICC-Profile zum Absturz von Colorsync führen, was wiederum den Inhalt dieses ICC-Geräteprofils zur Ausführung bringt. Ein Hacker könnte also ein ICC-Profil erstellen und dort Programmbefehle unterbringen. Allerdings setzt das voraus, dass man das ICC-Geräteprofil im Ordner /Library/ColorSync/Profiles installiert und es anschließend in Systemeinstellungen > Monitor auswählt. Die Gefahr, die von dieser Lücke im Betriebssystem ausgeht, dürfte deshalb sehr gering sein. Apple verweist darauf, dass bisher kein Versuch bekannt wurde, diese Sicherheitslücke auszunutzen.

- Das Update auf PHP 4.3.10
Mac-OS X enthält eine Reihe von Programmiersprachen, darunter PHP, die in der Regel für Internetseiten genutzt wird, deren Inhalt dynamisch berechnet wird. In PHP sind in den vergangenen Monaten einer Reihe von Fehlern entdeckt worden, die zum Absturz der Internet-Serversoftware oder anderen Einbruchsmöglichkeiten führen. Das Update auf Version 4.3.10 behebt die heute bekannten Fehler und ist deshalb für alle interessant, die den internen Web-Server von Mac-OS X nutzen (Systemeinstellungen > Sharing > Dienste > Personal Web Sharing).

- Ein Update für Safari, das verhindert, dass man Pop-up-Fenster mit falschem oder mit vertrauenserweckenden Inhalt füllt. Da sich in Pop-up-Fenstern die Adresszeile des Browsers ausblenden lässt, konnte man mit einigen Javascript-Tricks zum Beispiel den Eindruck erwecken, dass ein Pop-up-Fenster die Anmeldung zum Online-Banking enthält, während es in Wirklichkeit nur eine Seite mit ähnlichem Aussehen geladen hatte. Gab man dort die Bankzugangsdaten ein, wurden diese nicht an die Bank, sondern an die Entwickler der Pop-up-Seite weitergeleitet. Laut Apple ist man auch mit der bisher erhältlichen Version von Safari vor dem Fehler geschützt, wenn man die Funktion "Safari > Pop-Ups unterdrücken" aktiviert. Das Update aktiviert diesen Schutz auch dann, wenn man diese Funktion nicht einschaltet.

0 Kommentare zu diesem Artikel
931388