14.03.2007 09:57
Alert! Großreinemachen bei Apple: Updates für Lücken und neue Funktionen
Großreinemachen bei Apple: Das Sicherheits-Update 2007-003 für Mac OS X 10.3.x schließt 41 Sicherheitslücken in der Server-Version, davon lassen sich mindestens 14 ausnutzen, um Code auf ein System zu schmuggeln und zu starten. Die Sicherheits-Updates sind im Update auf Mac OS X 10.4.9 ebenfalls enthalten.
Allein bei der Verarbeitung von Disk Images hat Apple acht Fehler beseitigen müssen, sechs davon wurden im Rahmen des Month of Apple Bugs bekannt. Darüberhinaus hat der Hersteller auch andere MOAB-Lücken geschlossen, beispielsweise Fehler bei der Verarbeitung des AppleTalk-Protokolls, in ImageIO, QuickDraw, CoreGraphics und dem Software-Update-Mechanismus.
Nach dem Update sind im MySQL-Server sieben Schwachstellen weniger zu finden, wovon mindestens eine das Ausführen von eingeschmuggeltem Code erlaubte. Darüberhinaus behebt das Update weitere, teils kritische Lücken im Kernel, ColorSync, Crash Reporter, dem Druckdienst CUPS, im Printer Center, den Directory Services, dem Flash Player, SMB File Server (Samba), OpenSSH, Weblog, gnutar und sudo. Da in der Client-Version von Mac OS X einige Dienste nicht vorhanden sind, werden dort auch weniger Lücken geschlossen. Ein eigener Fehlerbericht für Version 10.3.9 von Apple beschreibt, welche dies sind.
Ein eigenes Update schließt zudem die Lücke in iPhoto. Zwar hat Apple damit immer noch nicht alle bekannten Schwachstellen beseitigt, allerdings ist man dem Ziel ein gutes Stück näher gekommen.
Aber nicht nur die Sicherheit wurde erhöht. Das Update auf Version 10.4.9 enthält nicht nur Fixes für die Lücken, sondern verbessert viele Funktionen. So soll es auf Clients die Darstellungsqualität beim Abspielen von DVDs erhöhen, mehr USB-Kameras für iChat unterstützen und diverse andere Funktionen erweitern. Auch der Server soll mit einem Update hinsichtlich Stabilität und Leistung verbessert werden.
Die teilweise 160 MByte großen Updates gibt es über die Software-Aktualisierung des Betriebssystems, sie sind aber auch als einzelne Pakete herunterladbar. Die Übersicht über alle Updates für Intel- und PPC-Systeme in den Client- und Server-Varianten gibt es auf Apples Download-Seite.
Siehe dazu auch:
- About the security content of Mac OS X 10.4.9 and Security Update 2007-003, Fehlerbericht von Apple
- About Security Update 2007-003 (10.3.9 Client), Fehlerbericht von Apple
- About the security content of iPhoto 6.0.6, Fehlerbericht von Apple
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
