Apple: Security Update 2005-003
Apple hat wieder Sicherheits-Updates bereitgestellt. Unter der laufenden Nummer 2005-003 gibt Apple verschiedenen Programmen und der Systemsoftware frischen Code und bügelt somit verschiedene Fehler und Sicherheitslücken aus.
Wie immer gibt es an dieser Stelle auszugsweise Inhalte der Security Meldung:
- Ein speziell bearbeitetes Paket kann aufgrund einer fehlerhaften Speicherverwaltung eine Denial of Service Atacke gegen den AFP Server ausführen.
- Falsch vergebene Userrechte ermöglichten es Unberechtigten Einblicke in Drop Boxes zu erhalten. Apple dankt John M. Glenn aus San Francisco für die Meldung des Fehlers.
- Der Bluetooth Setup Assistent wurde restriktiver gestaltet, da es unter Umständen möglich war, Einstellungen ohne entsprechend angemeldete Geräte zu verändern.
- iDEFENSE und Adriano Lima von SeedSecurity.com berichteten über einen Fehler in einer Umgebungsvariable, die es Angreifern ermöglichten, einen Buffer-Overflow zu provozieren, um somit fremden Code auf dem System ausführen zu lassen.
- Cyrus IMAP plagten verschiedene Verwundbarkeiten von Buffer Overflows bis hin zur möglichen DoS-Attacke. Die Updates beinhalten zusätzlich verbesserte Software für fetchnews, backend, proxyd und imapd.
- Cyrus SASL erfuhr ähnlich IMAP einen groben Rundumschlag der diverse Verwundbarkeiten ausmerzt.
- Einige geschützte Ordner waren trotz Restriktionen „world-writable“ und somit für jeden am System angemeldeten Nutzer beschreib- und löschbar. Apple dankt an dieser Stelle Eric Hall von DarkArt Consulting Services, Michael Haller (info at cilly.com), und (root at addcom.de) für die Hinweise.
- Safari, Apples Vorzeigebrowser auf KHTML-Basis erfuhr ähnliche Updates wie bisher schon Mozilla und Opera zum Thema Phishing und internationale Domain-Namen. Der User kann jetzt in einer White-List eintragen, welche Domains er „international“ (z.B. Müller.de) angezeigt bekommen möchte. Alle anderen werden in Punycode angezeigt. Apple dank auch hier wieder den fleißigen Helfern. In diesem Fall im Besonderen Eric Johanson (ericj at shmoo.com).
Die Updates betragen für die Clients 15 Megabyte und für Server 32 Megabyte und sind ab sofort bei Apple verfügbar.