Menü
Alert!

Apple schließt diverse Lücken in Mac OS X

vorlesen Drucken Kommentare lesen 711 Beiträge

Apple patcht diverse, teils gravierende und über das Netz ausnutzbare Lücken in den Client- und Server-Varianten von Mac OS X mit einem Sammel-Update. Die Patches können über das Software-Update im Betriebssystem aktualisiert werden. Ein separater Download ist natürlich auch möglich.

Die betroffenen Komponenten sind das Apache-2-Paket, das AppKit, Bluetooth, die CoreFoundation, der Druckerservice CUPS, die Directory Services, HIToolbox, die Kerberos-Implementation, das Login, das Mailprogramm, die MySQL-Datenbank, die OpenSSL-Version, der ping-Befehl, der RSS Visualizer-Screensaver, der Webbrowser Safari, das Security-Interface, der ServerManager-Daemon, die Firewall-Regeln über den ServerManager, SquirrelMail, das traceroute-Kommando, das WebKit, der Weblog-Server, der X11-Window-Server sowie die zlib-Bibliothek.

Besonders schwerwiegend, weil aus der Ferne über Buffer-Overflows ausnutzbar, sind die Fehler im Apache-Paket. Ebenfalls zum Einschleusen und Ausführen von beliebigem Code eignet sich der Pufferüberlauf im Directory Service. Die Kerberos-Implementierung hat die erheblichen Fehler der MIT-Version geerbt. Viele der Lücken in den anderen Paketen ließen sich unter Umständen durch per E-Mail eintrudelnde, präparierte Dokumente ähnlich aus der Ferne ausnutzen, um Schaden auf dem System anzurichten oder unautorisierten Zugriff zu erlangen.

Zwar meinen einige besonders missionarische Fans immer noch, Mac OS X sei per se sicher -- aber Panther und Tiger sind wie andere Exemplare der Software-Fauna auch als Freiwild für Wilderer freigegeben. Getreu der Maxime "mitgefangen, mitgehangen" spiegeln sich die Fehler der eingesetzten quelloffenen Programme und Dienste auch auf Mac OS X wider. Als Nutzer des Betriebssystems mit dem Apfel im Logo darf man sich also ebensowenig wie Pinguin-Freunde und Fenster-Affine Mitmenschen in falscher Sicherheit wiegen, sondern sollte stets nach Fehlern in den eingesetzten Paketen Ausschau halten und nicht unbedacht jedem Link folgen oder jedes E-Mail-Attachment öffnen. Selbstverständlich sollte auch das zeitnahe Einspielen der von Apple zur Verfügung gestellten Patches sein.

Siehe dazu auch: (dmk)

  • Zusammenfassung der Informationen zu den geschlossenen Lücken von Apple
  • Update für Mac OS X 10.3.9 Client
  • Update für Mac OS X 10.4.2 Client
  • Update für Mac OS X 10.3.9 Server
  • Update für Mac OS X 10.4.2 Server