13.02.2009 09:17
Alert! Apple schließt kritische Sicherheitslücke in Safari [Update]
Apples Sicherheits-Update 2009-001 schließt zahlreiche Sicherheitslücken in Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 und Mac OS X Server v10.5.6, von denen sich mehrere zum Einschleusen und Ausführen von Code missbrauchen lassen. Dazu gehört auch die Mitte Januar gemeldete Lücke im Browser Safari. Durch präparierte RSS-Feeds ist es möglich, JavaScript in der lokalen Sicherheitszone auszuführen. Für die Windows-Version von Safari 3.2.2 steht ein gesondertes Update bereit.
Die anderen Schwachstellen in Mac OS X betreffen etwa X11, Samba, Squirrelmail, Python, perl, CUPS, CFNetwork, Clamav, AFPServer und CarbonCore. Allerdings ist nicht jede Lücke in jeder Mac-OS-X-Version zu finden. Das Update ist je nach Zielplattform zwischen 43 MByte (Leopard) und 213 MByte (Server Universal) groß.
Darüber hinaus hat Apple Java for Mac OS X 10.5 Update 3 und Java for Mac OS X 10.4, Release 8 veröffentlicht. Beide Versionen sollen mehrere Schwachstellen in Java Web Start und dem Java Plug-in beseitigen. Auch hier ermöglicht eine Lücke sonst einem Angreifer, Code auf das System eines Opfers zu schleusen und auszuführen. Dazu genügt der Besuch einer präparierten Webseite.
[Update]:Der Entdecker der Safari-Lücke Brian Mastenbrook hat in seinem Blog darauf hingewiesen, dass er die Lücke bereits Mitte Juli 2008 an Apple gemeldet hat. Erst nachdem sich ein halbes Jahr nichts tat, veröffentlichte er erste Informationen über das Problem. Mastenbrook beschreibt zudem einige weitere, bereits länger zurückliegende Lücken in Safari und beklagt sich über die langen Reaktionszeiten des Herstellers. [/Update]
Siehe dazu auch:
- About the security content of Security Update 2009-001, Beschreibung von Apple
- About the security content of Java for Mac OS X 10.4, Release 8, Beschreibung von Apple
- About the security content of Java for Mac OS X 10.5 Update 3, Beschreibung von Apple
- Sicherheitslücke in Apples Safari, Bericht auf heise Security
(Daniel Bachfeld)
/
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
