Wird sicher noch zwei bis drei Wochen dauern sich Apple bequemt...

2 bis 3 Wochen wäre für die momentanen Apple-Verhältnisse schnell…

Es sollte heissen: Kommentare zu Sicherheitslücken in Bibliotheken für PNG und TIFF geschlossen (nur noch nicht bei Apple)

kann man eigentlich diese betreffenden Dateien einfach austauschen?

rene204
Gute Frage, kommt darauf an, wie diese durch den Linker eingebunden sind. Ich habe zumindest nur meine eigene libtiff.3.dylib innerhalb von /opt mit der Suche gefunden. Würde mich nicht wundern, wenn statisch statt dynamisch gelinkt wird, da man sonst das System auch sabotieren könnte.

rene204:
Nein, kann man leider nicht. Das kann (und soll) nur Apple tun (können). ZU wichtig, zu zentrag sind diese Bibliotheken.
Und ich würde auch die Finger davon lassen, das irgendwie über Umwege zu versuchen.

Der einzige Weg, vorher an aktuellere Bibliotheken zu kommen ist, sich MacPorts zu installieren. MacPorts residiert unterhalb von /opt/local und installiert alles, was zu MacPorts gehört und von MacPorts verwaltet wird, unterhalb von /opt/local in diesem eigenen Bereich. Redundanzen zu bereits auf dem System Vorhandenen bzw. zu auf dem System und von Apple bereits installierten Programmen und Bibliotheken treten dadurch ggf. auf bzw. werden in Kauf genommen. Dafür hat man aber einen in sich abgeschlossenen Bereich, der getrennt gepflegt und aktualisiert werden kann, ohne dass man Angst haben muss, in den Systembereich bzw. in den von Apple verwalteten Bereich hineinzupfuschen und da ggf. irgendwas kaputt zu machen oder in Unordnung zu bringen.

Tiff bzw. die LibTiff kann/könnte man unter MacPorts ggf. mit sudo port install tiff installieren, dort ist der Versionsstand derzeit (noch?) bei Version 3.9.2.3, zugehöriges Portfile mit Detailangaben hier: . Gleiches mit der libpng (sudo port install libpng), dort ist die Version laut Portfile derzeit (noch?) bei 1.2.43, das Portfile ist unter einsehbar.

Diese Bibliotheken werden normalerweise nicht einzeln installiert, sondern sie werden von anderen und umfangreichen Programmen benötigt, welche irgendwie Bildermanipulationen machen wollen, z.B. ImageMagick.
Sie werden dann im Zuge von solchen Installationen als Abhängigkeiten gleich automatisch mitinstalliert, man muss sich also nicht drum kümmern, dass sie installiert werden, MacPorts würde das alles im Zuge der Installation eines solchen größeren Programmes automatisch machen und alles das nachziehen und mitinstallieren, was zum Betrieb notwendig ist.

Wie gesagt: Du hast/hättest dann zwei Versionen dieser Bibliotheken, die an unterschiedlichen Orten liegen und die sich nicht gegenseitig stören, eben weil sie an unterschiedlichen Orten liegen und die Suchpfade danach (normalerweise und wenn alles richtig läuft) auch entsprechend eingerichtet/angepasst sind bzw. Mit etwas Trickserei kann/könnte man evtl. den Suchpfad für diese Bibliotheken so umbiegen, dass immer und in jedem Fall vom System die von MacPorts installierte Version gegenüber der eigenen von Apple gepflegten Version bevorzugt wird, aber da würde ich mal lieber die Finger davon lassen und da auch nicht mit herumexperimentieren, wenn Du nicht genau weißt, was Du da tust und bei Problemen auch nicht genau weißt, wie Du da wieder herauskommst.

Ansonsten bleibt Dir nur Eines: warten, warten und nochmals warten, bis Apple in die Puschen kommt und neuere Bibliotheken in Richtung Anwender über den Tisch schiebt. Und hoffen und beten und drauf vertrauen, dass diese Situation -- die ja erfahrungsgemäß durchaus zwischen Wochen und mehreren Monaten (zuweilen auch mal 1 bis 2 Jahre bei sowas, ist alles schon vorgekommen) dauern kann, bis Apple sich da irgendwann mal rührig zeigt -- nicht von irgendwem und irgendwo mal zu Deinen Ungunsten ausgenutzt wird. Dir selber sind da insoweit erstmal ein wenig die Hände gebunden -- es sei denn Du fängst das Experimentieren auf eigenes Risiko an.

ts:

Dann hast Du aller Wahrscheinlichkeit wohl MacPorts installiert und im Rahmen dessen libpng oder/und libtiff nochmal parallel installiert. Denn MecPorts residiert standardmäßig unter /opt/local. /opt ist unter MacOSX normalerweise leer bzw. existiert nicht. Es ist theoretisch vorgesehen unter so gut wie allen Unix- und Linux-Versionen für genau solche Zwecke wie z.B. MacPorts, also größere Software-Pakete, die mit der Systeminstallation eigentlich nichts bis wenig zu tun haben, diese aber ergänzen bzw. funktionell erweitern sollen und deshalb getrennt und parallel dazu gepflegt werden, nämlich unterhalb von /opt.

Ja, ich weiß das und das ist auch vom mir so gewollt; deshalb schrieb ich auch „meine eigene”.