Nett - die Sicherheitslücken kommen werden erst bekannt, wenn sie bereits gefixt sind? Denke, das ist eine gute Leistung seitens Apple und deren Sicherheitsbewusstsein, nicht?

Und Symantec macht ein Drama draus. Wo bleibt die Panikschnürerei seitens Sophos und Intego ?

ICH BIN ENTTÄUSCHT

launchd
CVE-ID: CVE-2006-1471
Available for: Mac OS X v10.4 - v10.4.6, Mac OS X Server v10.4 -
v10.4.6
Impact: Local users may gain elevated privileges
Description: A format string vulnerability in the setuid program
launchd may allow an authenticated local user to execute
arbitrary code with system privileges. The issue is present in
launchd's logging facility. This update addresses the issue by
performing additional validation when logging messages. This
issue does not affect systems prior to Mac OS X v10.4. Credit to
Kevin Finisterre of DigitalMunition for reporting this issue.

Da war nicht Apple nett, sondern der Entdecker des Exploits. Er hat Apple informiert und dann gewartet bis der Fix vorhanden war. Erst danach hat er den Bug veröffentlicht.

Schade, daß die Sicherheitsuüdates nicht separat von weiteren "Verbesserungen" des Systems ladbar sind. So werde ich also auch weiterhin auf Sicherheitsupdates verzichten, solange die Updates nicht stabil laufen, bzw. neue Fehler mit einschleppen. Mein 10.4.5 läuft (fast) tadellos, den Ärger mit 10.4.6 hätte ich nicht haben wollen und 10.4.7 muß sich auch erst einmal bewähren und einige kleinere Korrekturen bekommen, bevor ich das meinem Mac antue.

So gesehn, wirklich schade die Sicherheittsupdates nicht separat laden zu können.
Ich will es ja eigentlich nicht sagen, aber: so wie halt bei Windows üblich.. (schlagt mich)

Die "Siecherheits-Lücke" sitzt in den meisten Fällen eh "vor" dem Mac ...

Schlimm dass die Antiviren Hersteller schon solche Sachen hochpuschen, nur um ihre Programme zu verkaufen (sick)

Wenn denen die Felle wegschwimmen, werden die Antivirenprogrammfirmen halt nervös.

Wenn Du die Wahl hättest, irgendwelchen unmoralischen Quatsch von Dir zu geben oder den Job zu verlieren ....

Da muss ich mich JustDoit anschliessen. Es gab vorher auch schon einzelne Sicherheitspatches. Vermutlich wäre die Behebung der Lücke zeitnah mit 10.4.7 geschehen.
Wenn aber kurz nach einem Update eine Lücke bekannt wird, darf Apple nicht bis zum nächsten Update mit dem Fix warten. Sie werden dann einen Patch bringen.

Auf heise.de wars ja so lustig, da wurde nur die Sicherheitslücke betont, das Uptdate mit dem Fix dafür ging fast unter, irgendwo ganz am schluss als Downloadlink. Sehr schwach heise!

cab
Bereis im zweiten Satz im Heise-Artikel steht, dass 10.4.7 die Lücke schließt. Von Heise halte ich trotzdem schon länger nicht mehr viel.