Security Update 2004-05-24 Zum ersten Mal veröffentlicht Apple eine Pressemitteilung zu einem Sicherheitsupdate. In der vergangenen Woche geriet Apple nach einer recht allgemein gehaltenen Antwort zu einem Sicherheitsproblem in die Kritik. Apple nehme Fragen und Probleme zur Sicherheit nicht ernst genug.
Zwei Funktionen wirken im Sicherheitsleck zusammen und könnten gegebenenfalls ausgenutzt werden. Ein Browser wie etwa Safari kann komprimierte Disk-Images automatisch entpacken und auf dem Schreibtisch aktivieren. Zugleich kann aus dem Browser heraus der HelpViewer von Mac OS X aufgerufen werden und dieser wiederum kann Dateien und Programm aus bekannten Verzeichnissen starten.
Das jetzt vorliegende Security Update 2004-05-24 für Mac OS X v.10.3.3 Panther und für Mac OS X v10.2.8 Jaguar sichert jedenfalls den HelpViewer ab. Der Patch wird angeboten via Software Aktualisierung und als Download von den Support-Seiten bei Apple.
Aber Telnet und LaunchServices lassen sich immer noch von außen über URLs steuern, so dass Apple noch weitere Updates wird nachlegen müssen. Das Tool Paranoid Android kann eventuell bösartige Eingriffe umlenken und abfangen.
Weiterführende Informationen
Security Update 2004-05-24 (10.3.3)
Security Update 2004-05-24 (10.2.8)
Mac OS X Update Addresses Security Concern
Unsanity :: Paranoid Android
MACup: Sicherheitsleck in OS X
Kommentare sind geschlossen.