OS X: Apple schließt fast 80 Schwachstellen

SicherheitSicherheitsmanagement
Apple (Bild: Apple)

Angreifer könnten die Sicherheitslücken ausnutzen, um Schadcode einzuschleusen und Schadcode auszuführen. Aber auch DoS-Angriffe sind möglich. Neben OS X verteilt Apple eine Aktualisierung für Safari.

Insgesamt hat Apple mit einem Sicherheitsupdate für OS X 78 Schwachstellen geschlossen. Es ist als OS X 10.0.3 verfügbar. Für OS X 10.9.5 Mavericks sowie OS X 10.8.5 Mountain Lion verteilt der iPhone-Hersteller das Sicherheitsupdate 2105-004. Auch für Safari 8.05, 7.1.5 und 6.2.5 stellt Apple Fixes bereit.

Die Fehler in OS X betreffen einem Advisory zufolge unter anderem die Komponenten ATS, CFURL, CoreAnimation, FontParser, Graphics Driver, Hypervisor, Kernel, LaunchServices und WebKit. Sie ermöglichen Angreifern das Einschleusen von Schadcode und die Ausführung mit System-Rechten. Es genügt dafür, dass ein Opfer eine speziell präparierte Website besucht oder eine manipulierte Schrift-Datei lädt.

DoS-Angriffe können Kriminelle ausführen, wenn sie einen Fehler im Hypervisor oder zwei Kernel-Bugs ausnutzen. Ein unerwartetes Herunterfahren des Betriebssystems ermöglicht ein weiterer Kernel-Fehler. Das Update behebt zudem einen Speicherfehler beim Umgang mit iWork-Dateien. Darüber hinaus schließen OS X 10.0.3 sowie das Sicherheitsupdate 2015-004 eine Lücke in WebKit. Diese hatte der Sicherheitsforscher JungHoon Lee Ende März auf dem Hackerwettbewerb Pwn2Own präsentiert

OS X 10.10 Yosemite (Bild: Apple)

Mit den Sicherheitsupdates verteilt Apple außerdem Patches von Drittanbietern. Unter anderem schließen sie neuen Lücken in Apache, zwei in OpenLDAP, sechs in OpenSSL sowie 21 Schwachstellen in PHP.

Safari-Update behebt Speicherfehler

Insgesamt zehn Sicherheitslücken hat Apple mit der Aktualisierung für Safari geschlossen. Es soll unter anderem verhindern, dass gefährliche Websites Nutzer verfolgen. Offenbar hatte Safari nicht korrekt überprüft, ob ein Client-Zertifikat zur SSL-Authentifizierung passt. Die jetzt als unsicher eingestuften Safari-Versionen sind zudem unter Umständen nicht in der Lage, den Browserverlauf vollständig zu löschen.

Sieben der Fehler stecken alleine in der Browserenginge WebKit. Fünf davon sind Speicherfehler, die Anwendungen abstürzen lassen können und eine Remotecodeausführung ermöglichen. Möglicherweise erfasst WebKit auch den Browserverlauf, obwohl Nutzer den Privatsphäremodus verwenden.

Die Updates verteilt Apple über die Softwareaktualisierung. Sie können auch von der Apple-Website heruntergeladen werden. Aufgrund der Schwere der Anfälligkeiten sollten betroffene Nutzer die Patches schnellstmöglich installieren.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de