Apple fixt eine Vielzahl von Mac-OS-X-Schwachstellen

Das Security-Update behebt unter anderem kritische Lücken im Browser Safari und beseitigt Schwachstellen für Systemzugriffe in verschiedenen Versionen von Apples Betriebssystem.

Die aktuelle Version 1.4.3a von SquirrelMail verhindert die unberechtigte Ausführung von SQL-Anweisungen. Die kritische Lücke in lukemftp, über die Angreifer Zugang zum System erhalten konnten, wurde ebenso beseitigt wie die Open-SSH-Lücke, über die lokale Dateien überschrieben werden konnten.

Die LDAP-Implementation von Mac OS X 10.3.4 und 10.3.5 enthielt einen Fehler bei der Passwortverwaltung. Verschlüsselte Passwörter konnten Angreifer wegen der Abwärtskompatibilität im Klartext auslesen. Mit dem Update ist das entsprechende Feld immer verschlüsselt. In Kerberos, tcpdump, PPP und rsync wurden ebenfalls mehrere, teils kritische, Lücken gefixt.

Apache 2 und der Quicktime-Streaming-Server erhalten jeweils neue Versionen, die einen Denial of Service verhindern. Apples Internet-Browser Safari ist in der aktuellen Version nicht mehr anfällig gegen Spoofing-Attacken. Angreifer konnten Inhalte von Websites in einem fremden Frame darstellen und Nutzer so zur Übermittlung vertraulicher Daten an eine vermeintlich sichere Internet-Seite bewegen. Durch einen anderen Fehler in der Javascript-Funktion konnte der Browser zum Absturz gebracht werden.

Das Update stellt Apple über die Akualisierungsfunktion der Betriebssysteme oder als eigenen Download zur Verfügung. Eine genaue Aufstellung der behobenen Lücken finden Sie in diesem Security-Report.

Diesen stellt Ihnen tecCHANNEL in Zusammenarbeit mit Secunia zur Verfügung. Sie können den Service auch als kostenlosen Newsletter abonnieren. (mja)