Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheits-Updates für Mavericks und Mountain Lion

Apple hat mit OS X 10.10 Yosemite offenbar auch einige Sicherheitslücken geschlossen. In zwei separaten Security Updates für OS X 10.9 Mavericks und OS X 10.8 Mountain Lion schließt Apple die Lücken auch auf älteren Systemen. Noch sind keine Details bekannt, sodass unklar ist, ob mit den Updates unter anderem die Unterstützung von SSL3 wegen grundlegender Sicherheitsmängel entfernt wird. Während das Security Update für Mavericks mit rund 7 MB klein ausfällt, erreicht das Security Update für Mountain Lion eine Größe von 160 MB. Diese dürfte unter anderem daran liegen, dass alle bisherigen Security Updates enthalten sind.

Weiterführende Links:
Kuo: Release der Apple Watch Ultra 3 und SE 3 im nächsten Jahr
Kuo: Release der Apple Watch Ultra 3 und SE 3 i...
iPhone 16 Pro: Erfahrungen
iPhone 16 Pro: Erfahrungen
iOS 18 und iPadOS 18 lassen sich ab sofort laden
iOS 18 und iPadOS 18 lassen sich ab sofort laden
Ransomware eingefangen? Die meisten bezahlen ihre Erpresser
Ransomware eingefangen? Die meisten bezahlen ih...
iMac M4 angekündigt
iMac M4 angekündigt
iPhone 16: Welche Netzteile schnelles Laden versprechen
iPhone 16: Welche Netzteile schnelles Laden ver...
Apples Eskalationskurs und Gebühren-Wirrwarr
Apples Eskalationskurs und Gebühren-Wirrwarr
Gescheitert: iPhones von Robotern statt Arbeitern
Gescheitert: iPhones von Robotern statt Arbeite...

Kommentare

Peter Eckel17.10.14 08:43
Ich weiß jedenfalls schon mal eine Lücke, die das Update nicht schließt: Den Pudel (CVE-2014-3566). Was ziemlich schwach ist, weil die Abhilfe gegen dieses Problem recht einfach ist.

Auf der Serverseite erlaube ich bei von mir betriebenen oder betreuten Servern schon seit Jahren kein SSLv3 mehr, aber bei den Clients sieht es diesbezüglich leider traurig aus, und im Gegensatz zu z.B. Firefox kann man SSLv3 bei Safari meines Wissens nicht einmal per Konfiguration verbieten. Bei anderen Programmen, die irgendwelche (nicht nur OpenSSL!) SSL-Libraries nutzen, hat man meist gar keine Kontrolle über die verwendeten Protokolle.
Ceterum censeo librum facierum esse delendum.
0
Hannes Gnad
Hannes Gnad17.10.14 09:14
Hm, und für Lion?
0
DonQ
DonQ17.10.14 09:18
Ich weiß jedenfalls schon mal ein Problem, die das update verursacht,
Spitzenauslastungen von 25% bzw 125 % und doppelte ø bzw. 30% CPU last statt 12 % im Betrieb…ok, mal aufräumen den Müll…klar
an apple a day, keeps the rats away…
0
zod198817.10.14 09:28
Hannes Gnad
Hm, und für Lion?

Nix mehr. Ist tot.
0
Peter Eckel17.10.14 10:08
DonQ
Ich weiß jedenfalls schon mal ein Problem, die das update verursacht,
Spitzenauslastungen von 25% bzw 125 % und doppelte ø bzw. 30% CPU last statt 12 % im Betrieb…ok, mal aufräumen den Müll…klar

Kann ich auf keinem der bislang aktualisierten Rechner (2x10.8.5, 1x10.9.5 Server) reproduzieren. Nach dem allfälligen Spotlight-Reindizierungs-Lauf sind alle im Leerlauf zwischen 0 und 1% CPU.
Ceterum censeo librum facierum esse delendum.
0
nane
nane17.10.14 10:08
Hannes Gnad
Lion? Die meisten hier im Forum und erst Recht bei Apple können sich daran schon gar nicht mehr erinnern :'(
Das Leben ist ein langer Traum, an dessen Ende kein Wecker klingelt.
0
dom_beta17.10.14 10:51
Hannes Gnad
Hm, und für Lion?

Ist das für dich / Euch und Apple nicht auch längst tot?
...
0
Marcel_75@work
Marcel_75@work17.10.14 11:15
Tja, das war es dann wohl mit Sicherheitsupdates für Lion, so dass einmal mehr einige ältere Apple-Hardware besser mit Linux betankt werden sollte, wenn man noch halbwegs sicher surfen möchte … Oder halt komplett OFFLINE arbeiten.

Hatte ich auch schon hier angemerkt:
0
dom_beta17.10.14 11:25
Google Chrome läuft aber noch unter 10.6 und neuer.
...
0
Hannes Gnad
Hannes Gnad17.10.14 12:39
dom_beta
Ist das für dich / Euch und Apple nicht auch längst tot?
Es gibt halt Hardware, die nicht mehr weiter kann, daher ist es immer gut zu wissen, wie der Status ist. Also, nun ist der Löwe also auch begraben...
0
Walter Plinge17.10.14 15:23
Peter Eckel
Ich weiß jedenfalls schon mal eine Lücke, die das Update nicht schließt: Den Pudel (CVE-2014-3566). Was ziemlich schwach ist, weil die Abhilfe gegen dieses Problem recht einfach ist.
Laut https://support.apple.com/kb/HT6535 wird das durchaus gefixt:

Secure Transport
Impact: An attacker may be able to decrypt data protected by SSL

Description: There are known attacks on the confidentiality of SSL 3.0 when a cipher suite uses a block cipher in CBC mode. An attacker could force the use of SSL 3.0, even when the server would support a better TLS version, by blocking TLS 1.0 and higher connection attempts. This issue was addressed by disabling CBC cipher suites when TLS connection attempts fail.

CVE-ID

CVE-2014-3566 : Bodo Moeller, Thai Duong, and Krzysztof Kotowicz of Google Security Team

Und hier das PDF zur Lücke:
https://www.openssl.org/~bodo/ssl-poodle.pdf
0
Peter Eckel18.10.14 09:43
Walter Plinge
Laut https://support.apple.com/kb/HT6535 wird das durchaus gefixt:

Secure Transport
Impact: An attacker may be able to decrypt data protected by SSL

Description: There are known attacks on the confidentiality of SSL 3.0 when a cipher suite uses a block cipher in CBC mode. An attacker could force the use of SSL 3.0, even when the server would support a better TLS version, by blocking TLS 1.0 and higher connection attempts. This issue was addressed by disabling CBC cipher suites when TLS connection attempts fail.
Interessant. Dann müßte der Pudeltest einen Bug haben:

Laut Beschreibung auf der Testseite sieht es aber eher so aus als sei es der Sicherheitspatch von Apple, der den Bug hat ...

Immehin ist jetzt auch die Beschreibung für das Sicherheitsupdate online.
Ceterum censeo librum facierum esse delendum.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.