985858

Lücken gestopft: Security Update und Mac OS X 10.5.2

12.02.2008 | 13:00 Uhr |

Manchmal dauert's etwas länger, selten länger als ein Jahr: Apple schließt mit Update auf Mac OS X 10.5.2 und dem Security Update 2008-001 für Tiger-Anwender Sicherheitslöcher, die zum Teil noch aus dem Januar 2007 stammen. Erinnern Sie sich noch an den Monat der Apple-Bugs? Apple tut es.

Das Systemupdate auf Mac OS X 10.5.2 und das Tiger-Sicherheitsupdate schließen mehrere Sicherheitslücken, Apple nennt im Info-Dokument elf Bereiche, die von den Updates adressiert werden. Dabei sind die Sicherheitsprobleme unter Mac OS X 10.4.11 zum Teil andere als unter Leopard.

Doppelt gestopft: Gelöste Probleme für Tiger- und Leopard-Systeme

Beim Samba-Netzwerkprotokoll für die Nutzung von Windows-basierten Netzen schließt Apple eine Lücke, die eigentlich seit dem 10. Dezember keine mehr ist: Das Problem eines Pufferüberlaufs bei der Bearbeitung bestimmter NetBIOS Service-anforderungen hat das Samba-Team bereits vor Weihnachten geschlossen, Apple adressiert das unter der CVE-ID 2007-6015 bekannte Problem erst jetzt und implementiert damit die Samba-Version 3.0.28 . Das Terminal hat Apple bei der Verarbeitung von URL-Schemen abgesichert und dem Ausführen von Schadcode beim Besuchen einer speziell präparierten Web-Seite einen Riegel vorgeschoben.

Leopard only: Die Patches für Mac OS X 10.5

Ähnlich wie beim Terminal bestand auch bei dem Framework Foundation die Gefahr, beim Besuch präparierter Web-Seiten Schadcode untergeschoben zu bekommen. Foundation bietet eine Reihe von Schnittstellens für Programme, unter anderem auch das Handling von Internet-Aufrufen; beim Aufruf von URLs schaut Mac OS X mit einer verbesserten Validierung nun genauer hin. Die Launch Services haben bis Mac OS X 10.5.2 in der Vergangenheit gestöbert und Dokumente mit Backup-Kopiene veralteter oder bereits deinstallierter Programme geöffnet. Das Update behebt diesen ärgerlichen Fehler, indem es ganz simpel keine Programme aus Time Machine-Backups mehr startet. Beim Unix-Netzwerkprotokoll NFS hat Apple die Verarbeitung von mbuf-Ketten verbessert und schützt so Maschinen, die NFS-Dienste anbieten. Mit der Systemeinstellung Kindersicherung abgesicherte Macs plaudern an apple.com nicht mehr aus, dass eine vorher gesperrte Webseite nun vom Admin wieder zugänglich gemacht wurde. Die alternative, grafische Benutzeroberfläche X11, insbesondere OpernOffice.org-Anwendern bekannt, erhält den aktualisierten Font Server in Version 1.0.5 und befreit sich so von mehreren schwerwiegenden Schwachstellen. Außerdem patcht Apple den X11-Server, der in Zukunft keine Verbindungen mehr zulässt, wenn er das nicht soll: Bislang konnten Clients sich mit dem X11-Server verbinden, selbst wenn dies serverseitig durch gesetzte Sicherheitseinstellungen eigentlich verboten war.

Für den ergrauten Tiger: Mehr Sicherheit unter Mac OS X 10.4.11

Erinnern Sie sich noch an die Aufregung um den "Month of the Apple Bugs" (MOAB)? Im Januar vor einem Jahr offenbarten die Hacker lmh und Kevin Finisterre täglich ein Mac-Problem ( wir berichteten ), darunter am 17. Januar eines, das lokale Benutzer in die Lage versetzte, willkürlichen Code mit Systemrechten auszuführen. Knapp 13 Monate hat sich Apple Zeit genommen, auf diesen Bug bei den Directory Services zu reagieren, und hat dieses Sicherheitsleck nun für Tiger-Systeme geschlossen. Unter Mac OS X 10.5 sind keine Systeme betroffen. Auch Mail betrifft das Security Update 2008-001 und behebt ein Implementierungsproblem bei der Verarbeitung von URLs des Typs "file://", die auf lokale Dateien verweisen. Apple macht Schluss mit der Möglichkeit, dass nach dem Klick auf solch einen Hyperlink die dazu passende Anwendung automatisch gestartet wird, und lässt Mail nun erst den Speicherort im Finder anzeigen - doppelklicken muss der User dann selbst. Zuletzt beendet Apple mit dem Update ein nicht sicherheitskritisches "Wettlaufen", das bei Active Directory-Diensten auftrat und eine NTLM-Authentifizierung unmöglich machte. Die sicherheitskritischen Änderungen integriert Apple in das Update zu Mac OS X 10.5.2 , nur Tiger-Anwender müssen sich über die Software-Aktualisierung oder per Direkt-Download von den Apple-Servern mit dem Security Update 2008-001 für PowerPCs oder als Universal Binary versorgen. Für die Updates gelten gewisse Sicherheitsmaßnahmen, über die wir hier näher eingehen. Bild: loop_oh, via Flickr.com , einige Rechte vorbehalten

0 Kommentare zu diesem Artikel
985858