Menü
Alert!

Apple schließt zahlreiche kritische Lücken in Mac OS X und Safari

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 254 Beiträge
Von

Apple schießt mit dem Update auf Lion 10.7.4 und dem Sicherheitsupdate 2012-002 zahlreiche kritische Schwachstellen in Mac OS X und seinen Komponenten. Unter anderem wurde Lion das Speichern von Klartext-Passwörtern abtrainiert: Seit dem vorherigen Update hat Lion sämtliche Passwörtern von Nutzern, die ihr Nutzerverzeichnis von einer Netzwerkfreigabe (NFS, AFP oder SMB) gemountet haben, ungeschützt im System Log abgelegt.

Da zahlreiche kritische Lücken geschlossen wurden, sollte man diesen Dialog nicht ignorieren.

Auch wer nach einem Upgrade von Snow Leopard auf Lion weiterhin die erste Version der FileVault-Verschlüssung nutzte, war betroffen. Schuld war eine vegessene Debug-Option im HomeDirMounter. Mit einer Hilfe von Apple veröffentlichten Anleitung kann man Log-Dateien aufspüren, die potenziell Klartext-Passwörter enthalten können – um das Löschen der ungewollt erhobenen Daten kümmert sich das Update nämlich nicht. Außerdem wurde eine Lücke im Kernel geschlossen, durch die Lion im Ruhezustand trotz aktiviertem FileVault unverschlüsselte Dateien zurückgelassen hat.

Weitere Schwachstellen wurden unter anderem im LoginUIFramework behoben: Durch eine Race Condition konnten sich Gast-Nutzer unter Lion im Namen anderer Nutzer einloggen, ohne ein Passwort eingeben zu müssen. Außerdem wurde eine Lücke im HFS-Dateisystem ausgebessert, die dazu führt, dass man sein Lion-System durch das Einhängen eines speziell präparierten Disk-Images mit Schadcode infizieren kann. curl ist jetzt unter anderem vor den sogenannten BEAST-Angriffen auf verschlüsselte Verbindungen geschützt. Zudem wurden einige nicht sicherheitsrelevante Bugs behoben.

Einige der Lücken werden mit dem Sicherheitsupdate 2012-002 auch – oder wie im folgenden Fall ausschließlich – in Snow Leopard geschlossen. Wenn etwa der SMB-Server aktiv ist, kann ein Angreifer ohne gültige Zugangsdaten aus der Ferne Schadcode ins System einschleusen. Die Lücken betreffen jeweils auch die Server-Ausgabe der entsprechenden OS-X-Version.

Ein weiteres Sicherheitsupdate hat Apple seinem Safari Browser für Mac OS X und Windows spendiert. Ein Speicherfehler im WebKit-Kern sorgt etwa dafür, dass man sein System beim Besuch einer speziell präparierten Webseite mit Schadcode infizieren kann. Durch eine weitere Lücke kann eine präparierte Seite Formulare von anderen Seiten ausfüllen. Auch eine im Rahmen von Googles Hackerwettbewerb Pwnium aufgetauchte Cross-site-Scripting-Lücke wurde geschlossen.

Siehe dazu auch:

  • Safari im heise Software-Verzeichnis

(rei)