Mit den gestrigen Updates hat Apple mehr als 150 Sicherheitslücken in OS X, iOS 8 und Safari geschlossen. Die geschlossenen Sicherheitslücken waren vielfältig und betrafen beispielsweise die Verarbeitung von Audio, Bildern, PDF-Dokumenten, Schriften, Text und Video. In den schlimmsten Fällen konnten Angreifer schädliche Programmanweisungen zur Kontrolle des Systems einschleusen - entweder im Arbeitsspeicher oder Dateisystem. Geschlossen wurde in diesem Zusammenhang auch die vom Sicherheitsexperten Stefan Esser aufgedeckte Lücke, mit der beliebige Nutzer und Apps root-Rechte erlangen konnten.

Darüber hinaus gab es aber auch schwerwiegende Sicherheitslücken in Netzwerkkomponenten wie Bluetooth und Wi-Fi sowie Cloud- und Web-Diensten. Diese gaben unter Umständen sensible Informationen preis oder erlaubten gar die Einschleusung schädlicher Programmanweisungen. Letzteres war beispielsweise über Bluetooth möglich. Die Installation der Updates ist daher empfehlenswert und sollte baldmöglichst vorgenommen werden.

Ungeachtet dessen deutet Esser auf Twitter bereits ein neues Sicherheitsproblem an. Details werden vermutlich in den kommenden Tagen oder Wochen folgen. Er empfiehlt weiterhin die Installation seines selbstentwickelten SUIDGuard. Dabei handelt es sich um eine signierte Kernel-Erweiterung zur Unterbindung gefährlicher Umgebungsänderungen bei root-Prozessen. Möglicherweise lassen sich also unter Umständen noch immer root-Rechte erlangen. Dies betrifft aber wahrscheinlich erneut ausschließlich OS X 10.10 Yosemite.

Weiterführende Links:

• Apple Mailing List
• Stefan Esser (Twitter)
• SUIDGuard
• MTN: Yosemite - root-Rechte für jedermann & wie man sich schü...