Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Security Update 2005-006 für Mac OS X 10.4 erschienen

Apple hat gerade ein Security Update für Mac OS X 10.4 Tiger herausgebracht, welches diverse Sicherheitsverbesserungen an vielen Systemkomponenten bietet. Apple schreibt in der Software-Aktualisierung dazu:

Das Security Update 2005-006 enthält mehrere Sicherheitsverbesserungen und wird allen Macintosh Benutzern empfohlen. Dieses Update enthält folgende Komponenten:

AFP Server
Bluetooth
CoreGraphics
Folder Permissions
launchd
LaunchServices
NFS
PHP
VPN

Über den Link an der Seite gelangen Sie zu der Informationsseite zu dem Update.

Update: Das Update steht auch für Mac OS X 10.3.9 zur Verfügung.

Ergänzung:
Unter dem ersten Download-Link kann das 5,9 MB große Update für Mac OS X 10.4.1 und unter dem zweiten Download-Link kann das 3,5 mB große Update für Mac OS X 10.3.9 herunter geladen werden.

Weiterführende Links:

Vor 10 Jahren: 3 Milliarden für Beats
Vor 10 Jahren: 3 Milliarden für Beats
Leaks zum iPhone 16 Pro: Startpreis, Akkulaufzeit, Kamera-Features
Leaks zum iPhone 16 Pro: Startpreis, Akkulaufze...
Beddit ist Geschichte, Apple entfernt Apps
Beddit ist Geschichte, Apple entfernt Apps
Apple TV+: Strategiewechsel?
Apple TV+: Strategiewechsel?
iOS 18 sorgt für Probleme bei Mail-Servern
iOS 18 sorgt für Probleme bei Mail-Servern
iOS 18: Kritik an neuer Fotos-App reißt nicht ab
iOS 18: Kritik an neuer Fotos-App reißt nicht ab
iOS 18, iPadOS 18, macOS 15: Das Release-Datum ist bekannt
iOS 18, iPadOS 18, macOS 15: Das Release-Datum ...
Kurz: 5G-Netze noch mit sehr wenigen Nutzern +++ Apple Pencil als TV-Antenne (Patent)
Kurz: 5G-Netze noch mit sehr wenigen Nutzern ++...

Kommentare

leBeat
leBeat08.06.05 23:31
zippi.
0
macLitze08.06.05 23:34
Lieber wäre mir, wenn diese Blödheinis von Cisco endlich mal ihren VPN-Client auf Vordermann bringen würden. AFP-Connections unter 10.4 gehen nämlich mit dem jüngst erschienenen Client nicht. Uns so lange das nicht funzt - kann ich auf meinem Hauptrechner nicht auf den Tiger updaten.

So eine Sch***

Sitzen denn da bei Cisco keine Programmierer, die so einen Fehler mal beheben können? Ich finde das (sick)
0
Arclite
Arclite08.06.05 23:53
Habs. Noch keine mängel festgestellt.
0
gfc09.06.05 00:04
dito.. vpn geht wunderbar

vielleicht haste ned den neusten Build? Unsere Uni setzt folgenden Build ein:
4.6.03.0160
0
JW09.06.05 00:05
dank des wechsels zu Intel, werden wir wohl bald mehr Sicherheitsupdates bekommen.

0
macLitze09.06.05 00:06
Habe den neusten Build, aber immer wenn ich eine AFP-Verbindung herstellen will, gibt es eine Kernel Panic. In den Apple Discussions im Supportbereich berichten viele vom gleichen Problem, bei macosxhints ebenfalls.
0
Jaguar1
Jaguar109.06.05 00:19
klar @@ JW
wenn du uns jetzt noch erklärst, was in dem Fall Software mit Hardware zu tun hat, bist der Held des Donnerstags!

Gute Nacht @@ MTN
Zeit zum zzz
Die Menschen sind nicht immer was sie scheinen, aber selten etwas besseres.
0
geraldhu
geraldhu09.06.05 00:25
Dieses Security-Update gilt auch für 10.3.9

Hier die Information aus der Software-Aktualisierung:

Das Security Update 2005-006 enthält mehrere Sicherheitsverbesserungen und wird allen Macintosh Benutzern empfohlen. Dieses Update enthält folgende Komponenten:

Bluetooth
PHP

Ausführliche Informationen zu diesem Update erhalten Sie unter:
0
crissi09.06.05 07:49
JW

Dieser Link auf das Blog(!) ist unsinnig, erstmal ist das nur eine Meinung von einem Irgendwem und diese ist auch noch widersprüchlich und unsinnig:

---
With the transition, diversity is shrinking but diversity is a good thing for security. How many people do you know who can write PowerPC shellcode/assembly and how many do you know that write some for x86? Porting vulnerabilities is getting easier.
---

Der Shellcode wird sich nicht ändern, nur weil jetzt ein anderer Prozessor drin steckt.

Und Assemblerprogrammierer ...
... nunja da kenne ich so richtig keinen, weder für x86 noch PowerPC. Ich kann kommentierten Assembler lesen, aber schreiben nein danke.

Und hier der Widerspruch:
---
Porting is also not as easy as Apple told us. Objectve-C will behave annoyingly different on Intel than it did on PowerPC due to GCC/Pentium (division by zero and sending messages to nil).
---

Also erst wird es für Bösewichte einfacher ihre bösen Programme zu konvertieren, aber es wird nicht einfach zu Konvertieren wie Apple es behauptet.

Ja was denn nun?

Dieses Blog enthält eine Meinung und emotionales gefasel, das ist nicht zitierfähig, da es nicht mehr als Kristallkugellesen ist.

Und ich muss sagen dieses rumgezicke nervt so langsam.


Sorry fürs OT und Gruß.

Und sorry falls ich etwas unwirsch klinge, ich habe nicht viel geschlafen
0
admartinator09.06.05 08:08
"Und ich muss sagen dieses rumgezicke nervt so langsam. "

Richtig
0
jirjen09.06.05 08:45
ehmd...
0
jirjen09.06.05 08:47
Außerdem hat der sein eigenes Blog verlinkt. So kann man seine Hits auch hochtreiben...

In meinem Blog steht sicher auch irgendwas, was ich selber zitieren könnte! Wäre ein guter Einfall..
0
cj_apple
cj_apple09.06.05 08:48
* AFP Server
CVE-ID: CAN-2005-1721
Available for: Mac OS X v10.4.1, Mac OS X Server v10.4.1
Impact: A buffer overflow in support for legacy clients could permit the running of arbitrary code.
Description: The Mac OS X AFP Server supports a number of legacy clients. A buffer overflow in support for one of these clients could permit arbitrary code to run. This update modifies the AFP Server to correct this buffer overflow. This issue does not affect systems prior to Mac OS X 10.4.

* AFP Server
CVE-ID: CAN-2005-1720
Available for: Mac OS X v10.4.1, Mac OS X Server v10.4.1
Impact: On an AFP Server that uses an ACL-enabled volume for storage, copying a file with POSIX-only permissions can leave an ACL attached.
Description: When copying a local file to an AFP Server that is using an ACL-enabled volume for storage, a temporary ACL is attached to the remote object during the copy process. This ACL can be left behind if the file copy went into a directory that was not using ACLs. The ACL that is left behind could cause confusion, as it will override the POSIX file permissions for the file owner. The ACL does not permit other users to access the file. This update modifies the AFP Server so that it correctly removes the ACL that is used for copying the file. This issue does not affect systems prior to Mac OS X 10.4.

* Bluetooth
CVE-ID: CAN-2005-1333
Available for: Mac OS X v10.4.1, Mac OS X Server v10.4.1, Mac OS X v10.3.9, Mac OS X Server v10.3.9
Impact: Directory traversal via Bluetooth object exchange
Description: Due to insufficient input checking, the Bluetooth object exchange services could be used to access files outside of the default file exchange directory. This update provides an additional security improvement over the previous release by adding enhanced filtering for path-delimiting characters. Credit to kf_lists[at]digitalmunition[dot]com for reporting this issue.

* CoreGraphics
CVE-ID: CAN-2005-1722
Available for: Mac OS X v10.4.1, Mac OS X Server v10.4.1
Impact: Applications that use either PDFKit or CoreGraphics to render poorly-formed PDF documents could abort due to a NULL pointer dereference.
Description: If a poorly-formed PDF document is passed to PDFKit or CoreGraphics for rendering, the rending engine will detect an error and stop processing. As part of the cleanup process, a check for a NULL pointer is omitted. This omission can cause an application that handles PDF documents to abort, requiring that the application be restarted. CoreGraphics is updated to correctly handle the cleanup of poorly-formed PDF documents. This issue does not affect systems prior to Mac OS X 10.4. Credit to Chris Evans for reporting this issue.

* CoreGraphics
CVE-ID: CAN-2005-1726
Available for: Mac OS X v10.4.1, Mac OS X Server v10.4.1
Impact: Console users can gain root privileges.
Description: The CoreGraphics Window Server is updated to disallow unprivileged users from launching commands into root sessions. This issue does not affect systems prior to Mac OS X v10.4.

* Folder Permissions
CVE-ID: CAN-2005-1727
Available for: Mac OS X v10.4.1, Mac OS X Server v10.4.1
Impact: Potential file race condition via world- and group-writable permissions on two directories.
Description: Secure folder permissions are applied to protect the system's cache folder and Dashboard system widgets. This exposure does not exist in systems prior to Mac OS X v10.4. Credit to Michael Haller at info@cilly.com for reporting this issue.

* launchd
CVE-ID: CAN-2005-1725
Available for: Mac OS X v10.4.1, Mac OS X Server v10.4.1
Impact: The setuid program launchd can allow local privilege escalation.
Description: A vulnerability in launchd allows local users to gain ownership of arbitrary files. The launchd command is updated to safely change ownership of files. Credit to Neil Archibald of Suresec LTD for reporting this issue. This issue does not affect systems prior to Mac OS X v10.4.

* LaunchServices
CVE-ID: CAN-2005-1723
Available for: Mac OS X v10.4.1, Mac OS X Server v10.4.1
Impact: File extensions and mime types marked as unsafe but not mapped to an Apple UTI could bypass download safety checks.
Description: Mac OS X 10.4 contains a database of known unsafe file extensions and mime types. If an addition to the unsafe types database was made without a corresponding Apple UTI (Uniform Type Identifier), then a query on certain forms of the file extension or mime type would not be marked as unsafe. All entries in the current unsafe type database are mapped to an Apple UTI. This update corrects the query code to correctly identify unsafe file extensions and mime types regardless of the presence of an Apple UTI. This issue does not affect systems prior to Mac OS X 10.4.

* MCX Client
CVE-ID: CAN-2005-1728
Available for: Mac OS X v10.4.1, Mac OS X Server v10.4.1
Impact: Portable Home Directory credentials may be available to local system users.
Description: MCX Client is updated to not log portable home directory mounting credentials. This issue does not affect systems prior to Mac OS X v10.4.

* NFS
CVE-ID: CAN-2005-1724
Available for: Mac OS X v10.4.1, Mac OS X Server v10.4.1
Impact: An NFS export that's restricted using -network and -mask flags will export to "everyone."
Description: The use of -network and -mask on a filesystem listed in the NFS exports file would result in that filesystem being exported to "everyone." This update modifies the NFS exporting code to correctly set the network and mask parameters. This issue does not affect systems prior to Mac OS X 10.4.

* PHP
CVE-ID: CAN-2005-0524, CAN-2005-0525, CAN-2005-1042, CAN-2005-1043
Available for: Mac OS X v10.4.1, Mac OS X Server v10.4.1, Mac OS X v10.3.9, Mac OS X Server v10.3.9
Impact: Multiple vulnerabilities in PHP, including remote denial of service and execution of arbitrary code.
Description: PHP is updated to version 4.3.11 to address several issues. The PHP release announcement for version 4.3.11 is located at

* VPN
CVE-ID: CAN-2005-1343
Available for: Mac OS X v10.4.1, Mac OS X Server v10.4.1
Impact: A local user can obtain root privileges if the system is being used as a VPN server.
Description: A buffer overflow in "vpnd" could be used by a local user to obtain root privileges if the system is configured as a VPN server. This issue does not occur on systems that are configured as a VPN client. This issue cannot be exploited remotely. This update prevents the buffer overflow from occurring. This issue was fixed for Mac OS X v10.3.9 via Security Update 2005-005. Credit to Pieter de Boer of the master SNB at the Universiteit van Amsterdam (UvA) for reporting this issue.
0
zubido
zubido09.06.05 09:09
Ich bekomme immer die Fehlermeldung: "Kein Pentium gefunden"
0
Obstkiste09.06.05 09:16
War da nicht irgendwas mit einem Update auf 10.4.2? Das hätt ich jetzt viel lieber installiert!
0
JW09.06.05 10:20
Ich sehe keinen Widerspruch darin, dass einerseits mehr Sicherheitslücken entdeckt/portiert werden und andererseits der Umstieg bei Objective-C nicht ganz so einfach ist, wie angesagt.

Die Sicherheit des Mac hat auch davon profitiert, dass die meisten Sicherheitsexperten sich mit x86 beschäftigen. Sicherheitslücken/exploits in Programmen, die auf x86 vorhanden waren, funktionierten nicht immer ohne Portierungsaufwand auf powerpc. Das wird jetzt einfacher.
0
parka09.06.05 11:01
was micht vielmehr als intel stört, ist die tatsache, dass durch diesen ganzen blog-kram noch viel mehr unqualifizierte meinungen im netz zu lesen sind und so machen vollkommen verwirren...
0
Gilderoy Lockhart09.06.05 11:03
Was haben denn Sicherheitslücken in Anwendungen mit der verwendeten CPU zu tun? Und was hat eine 3GL wie Objective-C mit der CPU zu tun? Hallo? Ein Buffer-Overflow ist ein Buffer-Overflow, da kann die CPU nix für. Evtl. muss der Code im Exploit anders aussehen, aber das ändert nichts am Prinzip. Oder will jetzt hier jemand behaupten, Linux wäre auf x86 unsicherer als auf PPC?
0
JW09.06.05 14:08
"Evtl. muss der Code im Exploit anders aussehen, aber das ändert nichts am Prinzip. Oder will jetzt hier jemand behaupten, Linux wäre auf x86 unsicherer als auf PPC?"

Praktisch ja! Denn es existieren viel weniger Exploits im Umlauf fuer PCC als fuer x86. Meist muss man diese erst Portieren, das ist mein Punkt. Wie du gesagt hast, der Code muss anders aussehen und es gibt deutlich weniger, die wissen, wie er auszusehen hat!

Mehr Sicherheitsexperten+ScriptKiddies kennen sich mit x86 aus, also werden auch mehr Sicherheitsluecken und entdeckt und Exploits veroeffentlicht.

Theoretisch ist kein Sicherheitsunterschied zwischen Linux/x86 und Linux/PPC, praktisch ja.

Und das wird sich auch auf OSX uebertragen, da es mehr in die Aufmerksamkeit der x86 -folks rueckt.
0
MacApple09.06.05 18:12
cj_apple
Vielen Dank, dass Du ein Backup von Apples Internetseite gemacht hast.
0
crissi09.06.05 18:45
JW ...

... sorry, aber ein ganzer Teil von dem was du sagst klingt für mich unsinnig.

Der weitaus grösste Teil aller Computerviren sind Makroviren (IIRC deutlich >80%).

MS Office gibt es auch für den Mac. Dort habe ich von keinem einzigen MACrovirus gehört.

Vor vielen vielen Jahren gab es mal einen Virus "Esperanto", dieser funktionierte auf PC und Mac!

Und ist dem eine grosse Macvirenwelle gefolgt?

Der letzte mir bekannte Virus der in Assembler geschrieben war, war 1998 der CIH-Virus.

Dieser konnte seine Schadfunktion (überschreiben des BIOS) nur dann ausführen, wenn sich auf dem Computer ein Windows95 oder 98 befand und der TX-Chipsatz auf dem Board war.

Und wie ja immer gerne argumentiert wird, "Wenn die Plattform verbreiteter wäre, würden auch mehr Leute Malware dafür schreiben", das stimmt einfach so nicht. Denn wenn ich nun Virenschreiber wäre, dann wäre die wahrscheinlichkeit sehr gross dass ich dies nur bin um "Ruhm" zum erlangen. "Ruhm" hätte ich dann entweder nach dem Infizieren von 10 Millionen Winrechnern (erfundene Zahl) oder aber nach dem Infizieren von 1000 "ach so sicheren" OSX', Unixes, Linuxes ...

Ich für meine Wenigkeit bin davon überzeugt dass OSX grunsätzlich sicherer konzipiert ist, als zB Windows und es daher niemals zu so einer Virenplage wie für Windows kommen wird.

Genug OT von mir

Gruß
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.