Mac-Patches: Apple bessert nach

Noch nicht einmal zwei Wochen nach der Veröffentlichung seines Sicherheits-Updates muss Apple nachbessern und hat ein zweites Sicherheitspaket veröffentlicht, das Probleme mit der Download-Validation des ersten Updates korrigieren soll. Zudem werden zwei neue System-Schwachstellen ausgebessert. Secunia stuft die neu aufgedeckten Schwachstellen als "extrem kritisch" ein - die höchste Bewertung auf der Skala des Sicherheitsunternehmen. Steve Tribble, Vizepräsident der Abteilung Software-Technologie bei Apple, nennt die Patches einen Präventivschlag: "Für keines der Probleme gibt es Exploits 'in the wild'." Apples Security Update 2006-002 [Link entfernt] kann per Software-Aktualisierung automatisch oder manuell in Apples Downloadcenter [Link entfernt] heruntergeladen werden.

Download-Sicherung war über das Ziel hinausgeschossen

Offensichtlich sind die Software-Ingenieure bei Apple stellenweise ein wenig zu hastig an den ersten Security-Update herangegangen. Das Security Update 2006-001 sollte unter anderem Probleme des Apple-Browsers Safari beim automatischen Öffnen von bösartigen Dateien, die sich als "sichere" Dateitypen getarnt hatten, beheben. Das Update scheint das Problem aber noch nicht umfassend erschlagen zu haben: "Dieses Update liefert zusätzliche Prüfmechanismen, die Varianten der im Security Update 2006-001 beschriebenen bösartigen Dateien erkennen soll und dafür sorgt, dass diese nicht automatisch geöffnet werden", beschreibt Apple die Notwendigkeit des erneuten Updates. Zudem scheint die Download-Sicherung an manchen Stellen über das Ziel hinausgeschossen zu sein und fragte auch bestimmte sichere Dateien wie Word-Dokumente nach. "Diese unnötigen Warnhinweise werden mit diesem Update entfernt", erklärt Apple.

Die beiden neu aufgedeckten Sicherheitslücken betreffen Apple Mail und die Verarbeitung von Dokumenten mit JavaScript-Inhalten. Bei der Schwachstelle in Apple Mail hätte ein Klick auf einen präparierten E-Mail-Anhang einen Pufferüberlauf erzeugen können, der es einem Angreifer ermöglicht hätte, beliebigen Code im Rahmen der Nutzerrechte des betroffenen Accounts auszuführen. Diese Schwachstelle betrifft nicht Apple-Betriebssysteme vor Mac OS X 10.4. Bei der zweiten Schwachstelle hätte der Besuch einer Webseite mit speziell präparierten JavaScript-Dokumenten einem Angreifer erhöhte Zugriffsrechte verschaffen können. Beide Schwachstellen patcht das aktuelle Security Update. Zudem korrigiert das Security Update einen PHP-Fehler, der SquirrelMail ausgebremst hatte, und ein Problem im rsync-Modul, der die korrekte Ausführung des "--delete"-Befehls im Kommandozeilenmodus verhindert hatte.