OS X El Capitan und Safari 9 schließen insgesamt 146 Sicherheitslücken

Obwohl für OS X 10.9 Mavericks und OS X 10.10 Yosemite noch keine Sicherheits-Updates vorliegen, hat Apple bereits Details zu den in OS X 10.11 El Capitan geschlossenen Sicherheitslücken veröffentlicht. Demnach schließt allein das zugehörige Safari 9, welches im Mac App Store auch für ältere OS-X-Versionen als Update angeboten wird, bereits 45 Sicherheitslücken. Dabei handelt es sich größtenteils um Speicherfehler, durch die Angreifer über manipulierte Webseiten schädliche Programmanweisungen einschleusen und die Kontrolle über System und Daten erlangen konnten. Im Fall von OS X 10.11 El Capitan sind sogar rund 100 Sicherheitslücken behoben, die bislang in OS X anzutreffen waren.

Die mit El Capitan geschlossenen Sicherheitslücken sind vielfältig. Neben Bestandteilen von Open-Source-Komponenten wurden auch Bereiche des sichtbaren Systems korrigiert. Hierzu zählen beispielsweise Adressbuch, Continuity, Game Center, Mail, Notizen, Schlüsselbund, Time Machine und die Suche nach WLAN-Netzen. Je nach Fehler konnten Angreifer entweder sensible Daten wie den Kodierungsschlüssel ermitteln oder gar Programmanweisungen einschleusen. Zum Teil hat Apple auch die Verschlüsselungsalgorithmen aktualisierten, um das Erraten verschlüsselter Daten zu erschweren.

Angesichts der Fehler ist momentan unklar, warum Apple noch keine Sicherheitsupdates für ältere Versionen von OS X bereitstellt. Im vergangenen Jahr stellte Apple mit der Veröffentlichung des neuen OS X auch zeitgleich Security Updates für ältere Versionen bereit. Gerade im professionellen Bereich kann es momentan nämlich noch zu Störungen beim Betrieb von Zusatzgeräten unter El Capitan kommen, weil Hersteller-Treiber nicht rechtzeitig angepasst wurden. (Siehe hierzu: .) Dadurch ist nicht jeder Nutzer momentan in der Lage, zeitnah und ohne Funktionseinbußen auf das neue OS X 10.11 El Capitan zu wechseln.

Kommentare

sierkb01.10.15 11:39
Apple HT205267: About the security content of OS X El Capitan v10.11

Apple [security-announce]: APPLE-SA-2015-09-30-3 OS X El Capitan 10.11
0
Hannes Gnad
Hannes Gnad01.10.15 12:42
Man beachte dabei, daß auch dieses Mal Apple den Major Release, jetzt von 10.11, für ein Sicherheitsupdate für alle Vorgänger-Versionen seit 10.6.8 hält, so die Hardware macht mit, kann man und will aktualisieren usw.
0
Weia
Weia01.10.15 13:21
Hannes Gnad
Man beachte dabei, daß auch dieses Mal Apple den Major Release, jetzt von 10.11, für ein Sicherheitsupdate für alle Vorgänger-Versionen seit 10.6.8 hält
Wohl wahr …!
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
0
Weia
Weia01.10.15 14:05
Apple Support
An issue existed in guaranteeing secure deletion of Trash files on some systems, such as those with flash storage. This issue was addressed by removing the "Secure Empty Trash" option.
Apple Support
Multiple vulnerabilities existed in procmail versions prior to 3.22. These issues were addressed by removing procmail.
So kann man Sicherheitslücken in bestimmten Features natürlich auch beseitigen …
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
0
sierkb01.10.15 14:24
Weia
So kann man Sicherheitslücken in bestimmten Features natürlich auch beseitigen …

+1

Passend dazu: ,
0
MetallSnake
MetallSnake01.10.15 14:43
Apple Support
Multiple vulnerabilities existed in procmail versions prior to 3.22. These issues were addressed by removing procmail.

Kannte procmail nicht, also mal kurz bei Wikipedia reingeschaut. Version 3.22 ist die aktuellste Version und ist vom 10. September 2001 (also 14 Jahre alt )
Auf meinem Yosemite System ist procmail 3.22

Die Sicherheitslücken betreffen nur ältere Versionen, also gab es doch gar keine Sicherheitslücke die durchs entfernen von procmail "geschlossen" wird?
Erwachsensein ist halb gestorben --Relatives Menschsein
0
Weia
Weia01.10.15 15:08
MetallSnake
Die Sicherheitslücken betreffen nur ältere Versionen, also gab es doch gar keine Sicherheitslücke die durchs entfernen von procmail "geschlossen" wird?
Auch ein guter Punkt!

(Ich benutze procmail seit vielen Jahren tagein, tagaus … )
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
0
sierkb01.10.15 15:38
<OT>

MetallSnake:
Kannte procmail nicht

Jeder einigermaßen gut bewanderte Unix/Linux-Kenner und erst recht jeder Unix/Linux-Admin hingegen wohl dafür umso mehr.
Als MDA (mail delivery agent) gehört procmail seit Jahren zu den selbstverständlichen Basis-Programmen eines gut gepflegten Unix-Stacks, nicht wenige, die diesen Unix-Stack nutzen, vertrauen auf schlichtes Vorhandensein von procmail, benutzen dessen Filter- und Regelwerk, und somit gehört(e) es auch (jedenfalls bisher) in Darwin, also den Unix-Stack von OS X rein. Apple hat's bisher wohl auch so gesehen, wie man unschwer erkennen kann: .

Auf der anderen Seite:

LWN.net (November 24, 2010): Reports of procmail's death are not terribly exaggerated


Auf meinem Yosemite System ist procmail 3.22
Die Sicherheitslücken betreffen nur ältere Versionen

Diese kleine aber nicht irrelevante Sicherheitslücke betrifft explizit Version 3.22 (und alle früheren). Gefixt bei Debian z.B. im Patch-Level 3.22-20 bzw. 3.22-22.

Unter

CVE: CVE-2014-3618

NIST: Vulnerability Summary for CVE-2014-3618

erfährst Du mehr und da erfährst Du auch, wie andere Unix/Linux-Distributoren damit umgegangen sind – die haben schlicht und einfach Anfang September 2014 gepatcht (so wie Apple das bisher auch immer brav gemacht hat: ), zumal der jetzt zu tätigende Patch wohl nur ein winziger Einzeiler gewesen ist:

Habe in OS X 10.11 noch nicht reingeschaut, und Apple hat die zugehörigen Darwin-Sourcen noch nicht veröffentlicht. Die Frage ist, welchen MDA Apple als Ersatz für das jetzt offenbar weggefallene procmail bereitstellt. Maildrop kommt mir da in den Sinn.
</OT>
0
dom_beta01.10.15 15:56
Habe ich das richtig verstanden, dass 10.11 selbst ein Bugfix und Sicherheitsupdate für alle vorherigen Versionen ist?
...
0
Weia
Weia01.10.15 16:03
dom_beta
Habe ich das richtig verstanden, dass 10.11 selbst ein Bugfix und Sicherheitsupdate für alle vorherigen Versionen ist?
Yep.

Führt leider aber auch neue Bugs ein, so z.B. das neue GUI.
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
0
MetallSnake
MetallSnake01.10.15 16:06
sierkb
Diese kleine aber nicht irrelevante Sicherheitslücke betrifft explizit Version 3.22 (und alle früheren).

Also ist die Info von Apple falsch? Die schreiben:
Multiple vulnerabilities existed in procmail versions prior to 3.22.

Erwachsensein ist halb gestorben --Relatives Menschsein
0
dom_beta01.10.15 16:14
Weia
Yep.

Führt leider aber auch neue Bugs ein, so z.B. das neue GUI.

tja, also für mich erinnert das eher an Faulheit. Man könnte auch so Bugfixes und Sicherheitsaktualisierungen für die älteren OS X Versionen herausbringen, da bedarf es keiner neuen Majorversion.
...
0
sierkb01.10.15 16:21
MetallSnake
Also ist die Info von Apple falsch? Die schreiben:
Multiple vulnerabilities existed in procmail versions prior to 3.22.


Das kannste halten und interpretieren wie ein Dachdecker. Apple schreibt und sagt manchmal viel, das nicht unbedingt der Realität entspricht und hält sich teilweise bewusst ungenau oder sagt nichts, wenn es darum geht, eigenes Handeln oder Nicht-Handeln zu rechtfertigen.

Du hast obig die CVE-Nummern, nebst der Verlinkungen zu den einzelnen Distris und Mailing-Listen-Verläufen, da steht's verbindlich drin und wird weiter ausgeführt.
CVE-2014-3618
Heap-based buffer overflow in formisc.c in formail in procmail 3.22 allows remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via a crafted email header, related to "unbalanced quotes."

Steht da was von "Multiple vulnerabilities existed in procmail versions prior to 3.22"? Das steht im CVE-Text und in den dort verlinkten Ausführungen irgendwie ein wenig anders, nicht wahr?
0
MetallSnake
MetallSnake01.10.15 17:07
sierkb
CVE-2014-3618
Heap-based buffer overflow in formisc.c in formail in procmail 3.22 allows remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via a crafted email header, related to "unbalanced quotes."

Also ists wohl ein Fehler bei Apple, die meinten wohl bis inkl. 3.22.
Wenns nur in älter als 3.22 wäre, hätte das entfernen auch keinen Sinn gehabt, das hatte mich ja vorhin schon gewundert.
Erwachsensein ist halb gestorben --Relatives Menschsein
0
EmptySleve
EmptySleve01.10.15 21:44
sierkb
Jeder einigermaßen gut bewanderte Unix/Linux-Kenner und erst recht jeder Unix/Linux-Admin hingegen wohl dafür umso mehr.
Als MDA (mail delivery agent) gehört procmail seit Jahren zu den selbstverständlichen Basis-Programmen eines gut gepflegten Unix-Stacks, nicht wenige, die diesen Unix-Stack nutzen, vertrauen auf schlichtes Vorhandensein von procmail, benutzen dessen Filter- und Regelwerk, und somit gehört(e) es auch (jedenfalls bisher) in Darwin, also den Unix-Stack von OS X rein. Apple hat's bisher wohl auch so gesehen, wie man unschwer erkennen kann: .

Homebrew scheint sich der Sache schon angenommen zu haben:
supermac3000:~ supermacuser$ brew search procmail
No formula found for "procmail".
==> Searching pull requests...
Open pull requests:
procmail: 3.22 (new formula) (https://github.com/Homebrew/homebrew/pull/43686)
0
crissi
crissi02.10.15 09:48
Nachdem ich wegen der Windows Partion immer noch auf 10.9 bin, kann ich 10.11 inzwischen installieren, ohne dass das Windows im Dualboot kaputt geht?
Erst heulen, dann Fragen stellen.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.