Ganze Reihe von kritischen Sicherheitslücken in Mac OS X

15. Juni 2006, 21:20
111 Postings

Allein durch Surfen oder Öffnen von ZIP-Dateien können sich UserInnen Trojaner einfangen - Bisher keine Updates von Apple

Zunehmend mit den unangenehmen Seiten des Computerlebens müssen sich nun offenbar auch BenutzerInnen von Mac OS X auseinandersetzen. Auch wenn es bisher noch kaum aktive Attacken gegen das Betriebssystem von Apple gibt, die Zahl der berichteten kritischen Sicherheitslücken - und damit die potentielle Gefährdung - ist in den letzen Monaten deutlich angestiegen. Als neueste Spitze dieser Entwicklung muss sich der Computerhersteller nun mit einer der unangenehmsten Sorten von Sicherheitsproblemen herumschlagen: Die, für die man noch keine Updates bereit hat, die aber zum Einschmuggeln von Code benutzt werden können.

Problematisch

Eine ganze Reihe solcher kritischer Probleme hat jetzt der Sicherheitsexperte Tom Ferris von Security Protocols veröffentlicht. So ist es möglich mittels manipulierter Bilder in den Formaten BMP, TIFF oder GIF Code einzuschleusen, am schwerwiegendsten dabei das Problem in letzterem Format: Allein das Ansurfen einer Webpage, die ein präpariertes GIF-Bild enthält, mit dem Apple-Browser Safari kann theoretisch zum Einfangen eines Trojaners reichen.

Gepackt

Ebenfalls problematisch werden so ZIP-Archive, aufgrund eines Fehlers kann beim Entpacken auch hier Code eingeschmuggelt und mit den Rechten der jeweiligen AnwenderInnen ausgeführt werden. Zusätzlich berichtet Ferris von drei Bugs in der HTML-Verarbeitung des Safari, die zum Absturz des Browser genutzt werden können, unter Umständen könnte sich auch hier Code einschleusen lassen.

Einschätzung

Da es bisher keine Berichte über aktive Ausnutzung dieser Lücken gibt, stuft der Sicherheitsdienstleister Secunia die Probleme bisher "nur" mit der zweithöchsten Gefahrenstufe "Highly Critical" ein. Trotzdem muss sich Apple nun zunehmend die selben unangenehmen Fragen wie Microsoft über die eigene Umgangsweise mit Sicherheitslücken anhören. Dabei geht es weniger um die Tatsache, dass solche Probleme existieren - schließlich ist es praktisch unmöglich ein komplexes Stück Software 100 Prozent sicher zu machen - sondern viel mehr um den Umgang damit.

Wartezeit

So berichtet Tom Ferris etwa, dass die nun öffentlich gemachten Probleme teilweise schon Anfang des Jahres an Apple berichtet wurden, bisher seien allerdings nur leere Versprechungen zurück gekommen. Abzuwarten bleibt, wie schnell der Computerhersteller nun auf die Veröffentlichung der Probleme reagieren wird. (red)

  • Bild nicht mehr verfügbar
Share if you care.