Apple behebt mit dem Sicherheitsupdate 2015-002 die Freak-Lücke in Mac OS X. Die seit Kurzem bekannte Anfälligkeit erlaubt es Angreifern unter Umständen SSL/TLS-Verbindungen abzufangen und zu entschlüsseln. Insgesamt fünf Schwachstellen beseitigt der iPhone-Hersteller mit dem Patch in OS X 10.8.5 Mountain Lion, 10.9.5 Mavericks und 10.10.2 Yosemite.
Der Name Freak ist eine Abkürzung für “Factoring Attack on RSA-Export Keys”. Dies bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb. Nach der Installation des Updates unterstützt OS X die schwächeren RSA-Schlüssel nicht mehr.
Außerdem beseitigt das Update Lücken in den Komponenten iCloud Keychain, IOAcceleratorFamily und IOSurface. Sie lassen sich einem Security Advisory zufolge ausnutzen, um Schadcode einzuschleusen und mit Systemrechten auszuführen. Dafür müsste ein Opfer nur eine speziell präparierte Anwendung installieren.
Apple verteilt das Sicherheitsupdate 2015-002 über die Software-Aktualisierung des Betriebssystems sowie seine Website. Für OS X 10.8.5 Mountain Lion ist es 177,3 MByte groß, für OS X 10.9.5 Mavericks 62,3 MByte und für OS X 10.10.2 Yosemite 5,4 MByte.
Auch für Xcode unter OS X 10.9.4 oder später steht ein Patch bereit. Version 6.2 schließt fünf Sicherheitslücken, von denen 4 in der Apache-Subversion stecken. Außerdem hat Apple die Möglichkeit beseitigt, während einer Synchronisierung mit einem manipulierten Git-Repository beliebige Dateien zu einem Git-Ordner hinzuzufügen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…
Medizingeräte Hersteller Tuttnauer schützt Gerätesoftware mit IoT-Sicherheitslösung.