Patch Day bei Apple

Apple veranstaltet seinen ersten Patch Day 2006 am 1. März. Das erste Paket mit Sicherheits-Updates für Mac OS X in diesem Jahr enthält eine Reihe von Korrekturen, die bekannte Schwachstellen beseitigen sollen.

So schließt das Security Update 2006-001 Sicherheitslücken in Safari und Apple Mail, durch die automatisch Shell-Scripts ausgeführt werden können, die in komprimierten Archiven stecken. Ferner werden mehrere Javascript-Anfälligkeiten in Safari beseitigt.

Der Instant Messenger "iChat" prüft nun bei Downloads auf unbekannte oder unsichere Dateiypen. Auslöser für diese Änderung ist der Wurm OSX/Leap, der sich als Bilddatei tarnt, tatsächlich jedoch eine ausführbare Programmdatei ist.

Weitere Änderungen betreffen Pufferüberläufe in einer Reihe von Anwendungen, die die Systembibliothek "LibSystem" verwenden. Verschiedene Probleme gibt es auch mit dem so genannten "Cross-Site Scripting" (XSS), wenn also Scripts und Webseiten von unterschiedlichen Domains kommen. Solche Anfälligkeiten werden gerne von Angreifern ausgenutzt. Weitere Verbesserungen gibt es unter anderem bei IPsec, Automount und im "Passwd"-Programm der Verzeichnisdienste.

Das Sicherheits-Update ist in verschiedenen Versionen erhältlich, je nach installierter Betriebssystem-Variante. Die Downloads umfassen zwischen 12,5 für Mac OS X 10.4.5 und 38,6 MByte für die Server-Version von Mac OS X 10.3.9. Die Aktualisierungen können wie immer über die eingebaute Update-Funktion oder auch von der Apple Download-Seite bezogen werden. (PC-Welt/mja)