Security Update

Sicherheits-Update für Apples Mac OS X

Internet-Explorer-Probleme nach Microsoft-Patch-Day?
Von Christian Horn

Apple hat ein Sicherheits-Update für sein Betriebssystem Mac OS X veröffentlicht. Mit dem Security Update 2007-009 [Link entfernt] behebt Apple eine Vielzahl von Schwachstellen in den Mac-OS-X-Versionen 10.4.11, Tiger, und 10.5.1, Leopard, und den entsprechenden Server-Ausgaben. Das Update kann über die Funktion Software-Aktualisierung von Mac OS X oder über die Downloadseiten des Herstellers heruntergeladen werden.

Programmabsturz oder Ausführung von beliebigem Code

Im Webbrowser Safari wird eine Schwachsstelle in der Frame-Navigation repariert, die beim Besuch einer präparierten Website vertrauliche Informationen preisgibt. Ein weiteres Leck befindet sich in der RSS-Funktion von Safari. Mit manipulierten Feed-URLs können Angreifer hier das Programm zum Absturz bringen oder beliebigen Code ausführen. Diese Angriffsmöglichkeiten bestehen auch in der Suchfunktion Spotlight, wenn eine präparierte .xls-Datei geladen wird.

Bei der Funktion Software-Aktualisierung kann per Man-in-the-middle-Angriff ebenfalls beliebiger Code auf dem System ausgeführt werden. Ein vergleichbarer Angriff ist bei den Destop Services via Pufferüberlauf möglich, wenn ein Verzeichnis mit präparierter .DS-Store-Datei im Finder geöffnet wird. Im URL-Handler des Adressbuchs besteht eine Schwachstelle bei der Verarbeitung von Formatzeichenketten. Auch hier können Angreifer beim Besuch einer manipulierten Website das Programm abstürzen lassen oder beliebigen Code ausführen.

Die Liste der Sicherheitslücken in Mac OS X ist aber noch länger: In iChat können im lokalen Netzwerk Videoverbindungen ohne die Zustimmung des Benutzers hergestellt werden, das Anzeigen der Vorschau einer Datei mit aktivierter Schnellvorschau kann die Preisgabe vertraulicher Informationen zur Folge haben und ein Implementierungsproblems in den Launch Services erlaubt die Ausführung von beliebigem Code beim Öffnen eines ausführbaren E-Mail-Anhanges.

Weitere Patches gibt es für ColorSync, CFNetwork, Core Foundation, CUPS, GNU Tar, die E/A-Speicherreihe, den E-Mail-Client Mail, Perl, Python, Ruby und Samba, SMB, Spin Tracer, tcdump und XQuery sowie für die Flashlight- und Shockwave-Plug-Ins.

Sicherheits-Update für Internet Explorer verursacht Probleme

Dass Sicherheits-Updates nicht Sicherheitslücken schließen, sondern unter Umständen auch selbst Ursache für neue Probleme sind, hat sich in der Vergangenheit schon des Öfteren gezeigt. So sollen Berichten zufolge Nutzer, die das kumulative Sicherheits-Update des Dezember-Patchday für den Internet Explorer installiert haben, nun mit Stabilitätsproblemen des Webbrowsers konfrontiert sein. Bei Nutzern, die das Update wieder deinstalliert hatten, seien die Probleme nicht mehr aufgetreten. Microsoft arbeitet offenbar an einer Lösung des Problems. Wann diese bereitgestellt wird, ist jedoch nicht bekannt.