Am 19.03.2015 hat Apple eine sicherheitsrelevante Aktualisierung für Nutzer der aktuellen OS-X-Version 10.10.2 (Yosemite) vorgelegt. Über den Mac App Store wird das Security Update 2015-003 verteilt und kommt nur Tage nach einem größeren Patchpaket für den Browser Safari. Mehrere problematische Lücken schließt das Update.

Angreifer, die sich im gleichen Netzwerk befanden, konnten über "mehrere" Pufferüberläufe in Apples Passwortspeicherdienst iCloud-Schlüsselbund problematischen Code auf dem Mac ausführen, wie es in den Release Notes steht. Daher will Apple das Bounds-Checking verbessert haben.

Das Framework IOSurface war auch von einem Problem betroffen. Über eine böse Anwendung, welche auf dem Mac gestartet wird, konnte Schadcode mit Systemprivilegien ausgeführt werden, da ein "Type Confusion"-Fehler existierte. Daher hat Apple das Type-Checking verbessert.

Beide Bugs wurden von externen Sicherheitsforschern herausgefunden. Andrey Belenko von NowSecure entdeckte das Problem im iCloud-Schlüsselbund und der iOSurface-Fehler wurde von Googles "Project Zero" entdeckt.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE