Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Aktualisierungen für Mac OS X schließen sechs Sicherheitslücken

Die von Apple veröffentlichten Sicherheitsaktualisierung für Mac OS X 10.5 Leopard und Mac OS X 10.6 Snow Leopard schließen insgesamt sechs Lücken, über die Hacker das System angreifen konnten. Die Sicherheitslücken befanden sich laut dem zugehörigen Support-Dokument in den Systemkomponenten CoreAudio, CUPS, ImageIO, Image RAW, OpenSSL sowie im Flash Player Plugin. So konnten Angreifer unter anderem über manipulierte DNG-, Flash-, MP4- und TIFF-Dateien schädliche Programmanweisungen einschleusen und so Zugriff auf den Computer erlangen. In OpenSSL wurde eine seit August 2009 bekannte Sicherheitslücke geschlossen, bei der im Netzwerk über Man-in-the-Middle-Angriffe die Daten einer SSL-Verbindungen mitgelesen werden konnten. Schuld war hier die Renegotiation-Funktion von TLS, mit der HTTP-Requests mit unterschiedlich verschlüsselten SSL zusammengefasst und als vermeintliche eigene Daten vom Server schließlich entschlüsselt werden konnten.

Weiterführende Links:
Wie lange wird Intel noch unterstützt?
Wie lange wird Intel noch unterstützt?
Updates erschienen: iOS 17.4.1 und weitere verfügbar
Updates erschienen: iOS 17.4.1 und weitere verf...
"Sie wurden Opfer eines Cyberangriffs": Apple informiert erneut iPhone-Nutzer über möglichem Einbruch
"Sie wurden Opfer eines Cyberangriffs": Apple i...
MacStammbaum 10.3 erschienen – "Suche" ganz neu gedacht
MacStammbaum 10.3 erschienen – "Suche" ganz neu...
Test Swarovski AX Visio
Test Swarovski AX Visio
Linsenspiegelungen: Bekommt Apple das Problem mit dem iPhone 16 in den Griff?
Linsenspiegelungen: Bekommt Apple das Problem m...
Vision Pro: Testberichte
Vision Pro: Testberichte
Bericht zum neuen iPad Pro: Apple bestellt Millionen von OLED-Panels – Fokus auf 12,9"-Modell
Bericht zum neuen iPad Pro: Apple bestellt Mill...

Kommentare

derbalu
derbalu20.01.10 10:34
Installiert.
Bisher keine Probleme aufgetreten.



… und täglich grüßt das Murmeltier …
0
iCode
iCode20.01.10 10:44
Wenn Apple schon den FlashPlayer in seinen System-Updates verteilt, wäre es doch sinnvoll, wenn sie ihn nur in der Sandbox laufen liessen.
0
zack7620.01.10 10:52
Es ist sehr traurig das Apple so lange dafuer braucht (seit November...), irgendwann gibt es noch einen großen Security Knall bei Mac OS und Apple wird ihre fahrlässige Security-Strategie ändern müssen. Auch die statischen Einsprungadressen werden sie dann evtl. aufgeben müssen...
0
Midi3e20.01.10 10:57
Installiert auf MacBook Pro und Mac Pro - läuft
(Läuft auch auf einem Lenovo S10...pst)
0
jeti
jeti20.01.10 11:03
Sollten nach dem Flash-Player UpDate nicht auch die Abstürze des Flash-Player-Plugins eine Ende haben?
Bei mir stürzen noch die selben Seiten ab wir vor dem UpDate, so zum Beispiel: ungeachtet welchen Browser ich nutze.
0
sierkb20.01.10 11:05
In OpenSSL wurde eine seit November 2009 bekannte Sicherheitslücke geschlossen

Apples zugehöriges Support Dokument nennt und verlinkt selber dieses Dokument: .

Und in jenem steht gleich an erster Stelle:
"A major vulnerability in SSL authentication was discovered in August of 2009 by security analysts at PhoneFactor."

Desweiteren steht da:
"Marsh Ray and Steve Dispensa, both of PhoneFactor, demonstrated the vulnerability to a working group of affected vendors, together with representatives from the appropriate standards committees, in Mountain View, CA, on September 29, 2009. The group reached a preliminary agreement on how to address the underlying issue with the standard and patch the SSL libraries and also began work on a set of recommended methods for mitigating the vulnerability.

The working group included: PhoneFactor; Industry Consortium for the Advancement of Security on the Internet (ICASI) members – Microsoft, Intel, Nokia, IBM, Cisco and Juniper; Open SSL; Apache; NSS; Red Hat; Leviathan Security Group; and representatives from the Internet Engineering Task Force (IETF)."

Weiter steht da:
"PhoneFactor volunteered to delay disclosure of the vulnerability until at least early 2010 to allow time for vendors to make the necessary patches available. However, a closely related discussion thread on the IETF TLS working group mailing list independently uncovered the problem on November 4th. News of the vulnerability quickly spread through the IT security community."

Apple hat also spätmöglichst gepatcht, weil kurz vor der geplanten offiziellen Veröffentlichung des kompletten Bugs und der Bug-Historie, welche eigentlich für Anfang 2010 geplant ist, aber durch geleakte Informationen bereits im November öffentlich wurden und seitdem durch die Szene geisteren und deshalb seitdem ausgenutzt werden können.

Verschiedene Software-Anbieter inklusive Browser-Hersteller haben seitdem und mehrheitlich geschehen bis November 2009 als Workaround die Neuverhandlung (renegotiation) im SSL-Dialogfluss abgeschaltet, solange die betreffenden SSL-Bibliotheken nicht grundsätzlich und von der Referenz-Implementierung her umgeschrieben sind (hier ist eine grundsätzliche Änderung an der Referenz-Implementierung durch die IETF und am RFC notwendig), die hier von der IETF beschlossen und umgeschrieben werden muss(te).

Apple hat jetzt, im Januar 2010, diesbzgl. nachgezogen "This update disables renegotiation in OpenSSL as a preventive security measure." .

Es darf angenommen werden, dass u.a. Safari solange verwundbar war, was diese spezielle Lücke anging, welche andere Browser wie Firefox und Opera auf ähnliche Weise bereits im November geschlossen hatten (zugehöriger Firefox-Bug: ) bzw. weshalb Firefox sogar ein reguläres Update um ein paar Tage vorzog, um aufgrund der Dringlichkeit (man-in-the-middle-Attacken sind aufgrund dieser Lücke möglich!) wenigstens eine vorläufige Lösung möglichst schnell an den Mann zu bringen.

Eine grundlegende Lösung bzgl. dieses Problems in SSL/TLS ist von der IETF seit wenigen Tagen (12.01.2010) in Sicht:

heise: Lösung für Schwachstelle im Design von SSL/TLS in Sicht .

Apple (wie andere Hersteller auch) wird da diesbzgl. also nochmal nachbessern müssen und das Problem dann auf Basis dieser neuen von der IETF gefundenen Lösung grundlegend und an der Wurzel zu beheben ("A change to the renegotiation protocol is underway within the IETF.").

Bisher hat man sich da herstellerübergreifend also mit einem Workaround aus der Patsche geholfen, um Anwender bis dahin nicht unnötig zu gefährden, den nun eben auch Apple mit diesem jetzigen Security-Update (endlich) umgesetzt hat.

Siehe dazu auch:

heise: Passwortklau durch Schwachstelle im SSL/TLS-Protokoll (16.11.2009)
MTN: Sicherheitslücke in SSL bzw. TLS (16.11.2009)
MTN: Manipulierte SSL-Zertifikate gefährden Safari-Anwender (6.10.2009)
0
sb20.01.10 11:15
sierkb
Danke, ich habe die Zeitangabe korrigiert.
🎐 Sie werden häuslichen Frieden, finanzielle Sicherheit und gute Gesundheit genießen.
0
bimden20.01.10 11:18
jeti: die warnerbros-Seite läuft hier ohne Probleme.
0
der_neue20.01.10 11:24
sierkb
Vielen Dank für diesen Beitrag! Ohne dich wäre das MTN-Forum deutlich ärmer
0
jeti
jeti20.01.10 11:30
bimden
Mhh hast Du denn evtl. eine Idee woran es liegen könnte?
Genau dieses Thema wurde bereits in folgendem Thread behandelt für mich nach wie vor leider ohne Erfolg.
0
bimden20.01.10 12:14
jeti: ich würde empfehlen, mal den ganzen Ordner "~/Library/Preferences/Macromedia" zu entsorgen. Das hat bei mir bisher jedes Flash Problem beseitigt. Ansonsten könnte man auch den Cache Ordner "~Library/Caches/Adobe/Flash Player" entsorgen und schaun, ob's was bringt. Aber ne echte Idee für die Ursache habe ich nicht.

Steht im Logfile was dazu?
0
jeti
jeti20.01.10 12:26
bimben
danke für den Hinweis, aber auch dieses habe ich bereits in der Vergangenheit probiert, leider ohne Erfolg
0
Stefab
Stefab20.01.10 15:15
Jeti: Also hier läuft die genannte Seite auch völlig problemlos. Da muss was bei deiner Flash-Player Installation faul sein.
0
jeti
jeti20.01.10 16:25
Hab' den Flashplayer auch bereits deinstalliert und wieder neu installiert => dto.
0
arrgument20.01.10 20:45
Hab nach der Installation bis jetzt keine Probleme bemerken können.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.