Apple bringt Sicherheitsupdate für Mac OS X

Apple hat laut Support-Dokument 21 teils kritische Sicherheitslücken in Apache, CoreTypes, Identity Services, ImageIO, Kernel, PDFKit und QuickTime sowie in Apples Software-Update-Manager gestopft. OS X Mountain Lion v10.8.3 beinhaltet außerdem Safari 6.0.3, in dem Apple zahlreiche WebKit-Sicherheitslücken geschlossen hat. Nachstehend finden Sie eine Beschreibung der Fehler mit den zugehörigen CVE-Nummern.

Die Sicherheitslücke mit der Nummer CVE-2013-0966 erlaubt einem Angreifer ohne Anmeldeinformationen, auf Verzeichnisse mit HTTP-Authentifizierung zuzugreifen.

Über die Ausnutzung von CVE-2013-0967 kann der Besuch einer speziell präparierten Webseite dazu führen, dass eine Java-Web-Anwendung automatisch gestartet wird, auch wenn das Java-Plug-in deaktiviert ist.

Die Sicherheitslücke mit der Nummer CVE-2011-3058 ermöglicht über den Besuch einer in böser Absicht erstellten Webseite einen Cross-Site-Scripting-Angriff.

Die Ausnutzung von der mit CVE-2013-0963 bezeichneten Lücke ermöglicht eine Umgehung der Zertifikat-basierten Apple ID-Authentifizierung. Dadurch kann sich ein Unbefugter erhöhte Rechte aneignen.

CVE-2012-2088 kann beim Anzeigen einer manipulierten TIFF-Datei zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Verantwortlich ist dafür ein Pufferüberlauf in libtiff, das zur Verarbeitung von TIFF-Bildern dient.

Bei der Sicherheitslücke CVE-2013-0976 handelt es sich um einen Speicherfehler bei der Verarbeitung von Grafik-Daten.

Die Fehler CVE-2012-3749 kann ausgenutzt werden, um über schadcodehaltige oder manipulierte Anwendungen Adressen im Kernel zu ermitteln. Zur Offenlegung der Informationen kommt es im Umgang mit APIs in Bezug auf Kernel-Erweiterungen.

Bei CVE-2013-0969 handelt es sich um einen Logikfehler bei der Handhabung des Login-Fensters in VoiceOver. Dadurch kann ein Angreifer mit Zugriff auf die Tastatur die Systemkonfigurationen ändern.

CVE-2013-0970 ist eine Lücke, bei der Angreifer durch Klick auf eine speziell formatierte FaceTime-URL die Sicherheitsabfrage umgehen können.

Bei CVE-2012-3525 handelt es sich um ein Problem im Jabber-Server. Er erlaubt einem entfernten Angreifer Jabber-Nachrichten umzuleiten und offenlegen.

CVE-2013-0971 ist eine Lücke, die beim Anzeigen einer manipulierten PDF-Datei zu einer unerwarteten Beendigung der Anwendung oder zum Ausführen von Code führen kann.

Die Lücke CVE-2013-0156 befindet sich im Podcast Producer Server. Sie erlaubt einem entfernten Angreifer im Umgang mit XML-Parametern beliebigen Code auszuführen.

CVE-2013-0333 tritt bei JSON-Daten auf und erlaubt einem entfernten Angreifer beliebigen Code auszuführen.

Bei CVE-2012-3488 und CVE-2012-3489 handelt es sich um mehrere Schwachstellen in PostgreSQL, über die Datenbank-Nutzer im schlimmsten Fall die Rechte des Datenbank-Servers erlangen und so auf die Dateien im Dateisystem zugreifen können.

Die Lücke mit der Nummer CVE-2013-0156 befindet sich im Profile Manager. Sie ermöglicht einem entfernten Angreifer, über Ruby-on-Rails im Umgang mit XML-Parametern beliebigen Code auszuführen.

CVE-2012-3756 betrifft QuickTime und beschreibt einen Pufferüberlauf bei der Verarbeitung von „rnet-Boxen“ in MP4-Dateien. Wenn ein Nutzer eine manipulierte Filmdatei öffnet, kann sich die Anwendung unerwartet beenden und es ist möglich, Schadcode einzuschleusen.

CVE-2013-0156 ermöglicht einem entfernten Angreifer im Umgang mit XML-Parametern beliebigen Code auszuführen, wenn eine Ruby-on-Rails-Anwendung läuft.

CVE-2013-0973 ermöglicht einem Angreifer, sich eine privilegierte Netzwerkposition zu erschleichen und darüber an Benutzerdaten oder andere sensible Informationen zu gelangen.

Im Wiki Server befinden sich die Lücke CVE-2013-0156 und CVE-2013-0333. Sie ermöglichen einem entfernten Angreifer, beliebigen Code auszuführen.

Das Update wird über die OS-X-interne Softwareaktualisierung ausgeliefert und steht auch im Apple Support-Bereich bereit. Sicherheits-Updates gibt es außerdem für die älteren Mac-OS-X Versionen Snow Leopard und Lion. Alle Updates sollten möglichst zeitnah installiert werden.

Darüber hinaus erweitert Apple Mac OS X Mountain Lion 10.8.3 um eine bereits in den USA getestete Funktion, über die Nutzer ihre iTunes-Guthaben per Webcam aufladen können. Dies geschieht, indem Sie die iTunes-Geschenkkarte vor die Kamera halten. Eine weitere Neuerung betrifft Boot Camp. Es unterstützt künftig Windows 8 und Festplatten mit einer Speicherkapazität von bis zu drei Terabyte.

Mit OS X 10.8.3 beseitigt Apple zudem mehrere nicht sicherheitsrelevante Fehler. Der Kurioseste betrifft die Rechtschreibkorrektur, über den in der Vorgängerversion Programme gezielt zum Absturz gebracht werden konnten. Mit dem Update verschwinden zudem die doppelt- und dreifach Nachrichten, sowie der automatische Austausch der Hintergrundbilder auf dem Desktop. Außerdem werden nun die Kontakte nicht mehr durcheinandergewürfelt, sobald ein Nutzer die Adressen seiner Kontakte ausdruckt.