970394

Patch um Patch: Apple schließt (nicht alle) Sicherheitslücken

30.05.2007 | 13:16 Uhr |

Das Security-Team in Cupertino schiebt dieser Tage Überstunden, die Software-Ingenieure arbeiten offenbar mit Hochdruck an der Beseitigung von sicherheitsrelevanten Schwachstellen.

In der Nacht zu Freitag stellte Apple das Security Update 2007-005 zum Download bereit und schloss damit 13 Lücken, in der Nacht auf heute beseitigten die Programmierer eine schwerwiegende QuickTime-Schwachstelle - auch für Windows-Anwender. Wer aber vom Mac aus auf Windows-Rechner und -Server im Netz zugreifen will, sieht sich aktuell weiterhin mit einem Sicherheitsproblem konfrontiert.

QuickTime-Update schließt Java-Lücke

Neben Flash gehört Java zu den regelmäßigen Gästen, deren Code man sich mit einem Browser auf den Rechner lädt, um multimediale und interaktive Webangebote zu nutzen. Wer allerdings Code aus fremden Quellen ausführt, sollte sich der Tragweite seines Handelns bewusst sein: Leicht können kleine Java-Programme, so genannte Applets, dazu genutzt werden, auch schädigenden Code auf dem betroffenen Rechner auszuführen. Zwei Hacker haben auf diese Weise Ende April im Rahmen eines Wettbewerbs Kontrolle über ein voll gepatchtes MacBook erlangt, nachdem sie darauf eine speziell vorbereitete Web-Seite mit Safari aufgerufen hatten. Erst auf den zweiten Blick wurde klar, dass dies ein überaus kritisches Problem darstellt, denn ein Fehler in QuickTime, sowohl für den Mac als auch in der Windows-Version, öffnete diese Hintertür ebenso bei Firefox und selbst im Internet Explorer unter Windows XP. Dieses und gleich noch ein zweites Problem hat Apple mit dem aktuellen Update geschlossen. Im Info-Dokument zum Sicherheitsupdate für QuickTime 7.1.6 (auch für Windows ) erklärt Apple, dass fortan Java-Applets durch eine zusätzliche Überprüfung (Validierung) das beschriebene Verhalten nicht mehr ausüben können. Problem Nummer zwei war der Öffentlichkeit bislang nicht bekannt, ist aber brisant: Über denselben Weg, durch Java-Applets auf einer Webseite, hat ein Angreifer die Möglichkeit, in den Speicher des Webbrowsers seines Opfers zu schauen und so vertrauliche Daten auszuspähen, etwa Login-Daten für das Online-Banking. Apple löst dieses Problem, indem der Speicher gelöscht wird, bevor das Applet Zugriff darauf erhält.  

Guter Grund für das Security Update 005

Nachdem Apple vergangene Woche das fünfte Sicherheitsupdate veröffentlicht hat, liefert nach einem Bericht der InformationWeek nun Dave Aitel einen überzeugenden Grund, dieses Update zu installieren. Unter der ID CVE-2007-2386, so zitiert es auch das Info-Dokument von Apple , ist eine Verwundbarkeit im lokalen Netz geschildert, die bei Verwendung von UPnP Internet Gateway Device-Code entstehen kann. Hier ist ein Angreifer in der Lage, durch Senden eines präparierten Datenpakets an einen Rechner einen Programmabsturz oder die Ausführung von Code zu verursachen. Der Sicherheitsexperte von Imunity hat offenbar ein Exploit programmiert, das genau diese Schwachstelle nutzt. Wer das Update noch nicht installiert hat, kann dies über die systemeigene Software-Aktualisierung nachholen oder über die Apple-Downloadseite den für sein System passenden Patch laden.  

Still to do: Sicherheitslücke in Samba

Weiterhin ungelöst ist ein seit 16. Mai bekanntes Sicherheitsproblem , das alle Anwender betrifft, die auf Windows-Dateiserver und -Printserver zugreifen und hierfür die von Mac OS X benutzte Open Source Software Samba vertrauen. Das freie SMB (Server Message Block)-Derivat, das bei Apple Verwendung findet, trägt die Versionsnummer 3.0.10, seit zwei Wochen gibt es aber bereits eine 3.0.25-Version, die erneut um einen Fehler bereinigt als 3.0.25a seit 24. Mai zur Verfügung steht, berichtet macnn . Insgesamt drei Sicherheitslücken sind unter Mac OS X bekannt, eine von ihnen ermöglicht einen entfernten Angriff über das Netzwerk mit der Möglichkeit zur Ausführung böswilligen Codes.

0 Kommentare zu diesem Artikel
970394