Apple schliesst kritische Sicherheitslücke in Mac OS X

Nachdem gestern Microsoft und Adobe mit Sicherheitsaktualisierungen etliche Schwachstellen in ihren Produkten geschlossen hatten, ist heute Apple dran. Das aktuelle Sicherheitsupdate schliesst eine kritische Lücke, über die ein Angreifer beliebigen Schadcode einschleusen und ausführen kann. Die Aktualisierung betrifft Mac OS X 10.5 („Leopard“) und 10.6 („Snow Leopard“).

Mit der Sicherheitsaktualisierung 2010-003 schliesst Apple eine Schwachstelle, die der Sicherheitsforscher Charlie Miller beim Hacker-Wettbewerb Pwn2Own 2010 im März demonstriert hatte. Mit Hilfe einer präparierten Webseite gelang es ihm, Schadcode über Apples Webbrowser Safari einzuschleusen und so die Kontrolle über den betroffenen Computer zu erlangen.

Laut einer Sicherheitsmeldung von Apple befindet sich die Schwachstelle aber nicht im Webbrowser Safari selbst sondern in der Schriftenverwaltung Apple Type Services (ATS).

Nutzer der Apple-Betriebssysteme Mac OS X 10.5 („Leopard“) und 10.6 („Snow Leopard“) sollten die Sicherheitsaktualisierung dringend einspielen. Das kann bequem durch die Software-Update-Funktion von Mac OS erledigt werden. Wie das geht, beschreibt Apple im Internet auf der Webseite „Mac OS X: Aktualisieren Ihrer Software“ (siehe Linkliste).

Auf der Pwn2Own 2010 wurden neben dieser auch etliche andere Schwachstellen in anderen Programmen und Geräten gefunden. Eine davon betrifft die SMS-Datenbank von Apples iPhone. Diese Schwachstelle hat Apple bisher nicht beseitigt.