Apple schließt zahlreiche schwere Sicherheitslücken

15. Juni 2006, 21:23
9 Postings

Quicktime und Mac OS X mit Problemen - AngreiferInnen können Schadcode einschmuggeln und ausführen

Der zuletzt verstärkt ins Schussfeld der Kritik von Sicherheitsexperten gekommene Computerhersteller Apple hat mit einem Sammelupdate eine ganze Reihe von zum Teil schwerwiegenden Lücken in seinen Produkten beseitigt: Mehr als 25 Sicherheitsprobleme in Quicktime und Mac OS X sollen nun der Vergangenheit angehören.

Kritik

Dazu gehören unter anderem die vor einigen Wochen vom Sicherheitsexperten Tom Ferris bekannt gemachten Probleme bei der Bildverarbeitung, die sich zum Einschmuggeln von Schadcode ausnutzen lassen. Ferris hatte damals kritisiert, dass die Lücken nicht geschlossen wurden, obwohl Apple seit Monaten davon informiert sei. Wohl auch nicht zuletzt durch die Veröffentlichung, hat man sich beim Computerhersteller nun offenbar zu einer schnelleren Reaktion entschieden.

Problematisch

Auch im Archiv-Handler BOM wurde eine kritische Lücke behoben, mittels speziell präparierter Archive konnten Code eingeschmuggelt oder beliebige Dateien überschrieben werden. Ein anderer Weg um Schadcode in ein System zu bringen, waren präparierte Mails im MacMIME oder Rich-Text-Format, mit Bildern im PICT-Format funktionierte dies bislang "dank" eines Problems in Quickdraw ebenfalls. Mit dem neuen Update geschlossen wird auch ein seit längerem bekanntes Problem in der libcurl, die ebenfalls das Einschmuggeln von Code erlaubte.

Ausführen

Eine weitere Reihe von Problemen konnte nach dem Einschmuggeln von Code dann zum Ausführen des selbigen genutzt werden. Dies ließ sich bisher mit manipulierten Flash-Dateien, einem Fehler in der CoreFoundation oder per Dateien, die im Finder auf eine Internetadresse verweisen bewerkstelligen. Auch angemeldete FTP-BenutzerInnen konnten Schadcode zur Ausführung bringen.

Ausspionieren

Zwischen den restlichen nun gefixten Sicherheitslücken findet sich unter anderem etwa eine, die die Umgehung der Sperre des Schlüsselrings erlaubte, womit potentiell sensible Daten ausspioniert werden konnten. Neben den Bugs in Mac OS X wurde auch ein Problem in Quicktime behoben, per manipulierter Bilder oder Videos - etwa in Webseiten eingebunden - ließ sich bisher Schadcode einschmuggeln und mit den Berechtigungen der einzelnen BenutzerInnen zur Ausführung bringen.

Update

Die Updates stehen für Mac OS X-BenutzerInnen über die Softwareaktualisierung zur Installation bereit, das Quicktime-Problem betrifft auch Windows-UserInnen, die neue Version 7.1 findet sich auf der Download-Seite von Apple. Aufgrund der Schwere der gefixten Problem ist ein umgehendes Update anzuraten. (red)

  • Bild nicht mehr verfügbar
Share if you care.