Apple liefert Patches für 59 Sicherheitslücken in Mac OS X
Über einige davon könnten Angriefer Schadcode einschleusen und diese dann mit Kernelrechten ausführen. Mit OS X 10.11.4 und dem Sicherheits-Update 2016-002 wird zudem auch die Sicherheitslücke in iMessage geschlossen. In Safari beseitigt Apple mit einem weiteren Update zwölf Schwachstellen.
Apple stellt mit einem Sicherheits-Update Patches für 59 Sicherheitslücken in Mac OS X bereit. Die Fehlerkorrekturen sind Teil von OS X 10.11.4 sowie des Sicherheits-Updates 2016-002 für OS X 10.9.5 Mavericks und OS X 10.10.5 Yosemite. Mit ihnen werden auch zahlreiche Schwachstellen behoben, die das Einschleusen und Ausführen von Schadcode mit Kernelrechten ermöglichen.
Die Schwachstellen stecken unter anderem in den Komponenten AppleRaid, AppleUSBNetworking, Bluetooth, Carbon, FontParser, HTTPProtocol, IOGraphics, Kernel, Messages, OpenSSH, OpenSSL, Quicktime, Reminders und Wi-Fi. Zusätzlich behebt Apple einen Fehler in iMessages, der es Unbefugten erlaubt, auf iCloud gespeicherte Fotos oder Videos zu entschlüsseln. Eine weitere Schwachstelle in Apples Code-Signing-Tools ermöglicht es Hackern, nach beliebigen Dateien zu suchen.
Das Sicherheits-Update liefert auch Fehlerbehebungen für Treiber für Grafikkarten von Nvidia und Intel. Durch mehrere Speicherfehler können Angreifer Schadcode einschleusen und ebenfalls mit Kernelrechten ausführen. Durch verbessertes Speichermanagement soll dies nun verhindert werden.
Wie verteilt Apple die Aktualisierung über den Mac App Store. Anwender von OS X El Capitan müssen bis zu 1,94 GByte herunterladen. Das Sicherheits-Update 2016-002 für Mavericks und Yosemite ist umfasst immerhin noch 460 MByte.
Mit Safari 9.1 beseitigt das Unternehmen zudem zwölf Schwachstellen in seinem Browser. Sie stecken überwiegend in der Engine WebKit. Unbefugte könnten sie ausnutzen, um vertrauliche Daten ausspähen, einen Absturz von Safari auszulösen oder Schadcode einschleusen und auszuführen. In den meisten Fällen müssen sie datzu Anwender nur dazu verleiten, eine speziell gestaltete Website in Safari zu öffnen.
Bereits am Montag hatte Apple mit iOS 9.3 insgesamt 38 Sicherheitslücken in seinem Mobilbetriebssystem geschlossen. Auch hier wurden die Lücke in iMessage sowie gravierende Schwachstellen im Kernel und der Browserengine WebKit geschlossen.
[mit Material von Stefan Beiersmann, ZDNet.de]