Update für Apples OS X behebt Freak-Lücke
Insgesamt fünf Sicherheitslücken behebt Apple mit der Aktualisierung 2015-002. Neben Freak behebt es ein Kernel-Loch, das der iPhone-Hersteller bereits im Januar in iOS 8 beseitigt hat. Mit einem weiteren Update behebt es fünf Fehler in Xcode.
Apple behebt mit dem Sicherheitsupdate 2015-002 die Freak-Lücke in Mac OS X. Die seit Kurzem bekannte Anfälligkeit erlaubt es Angreifern unter Umständen SSL/TLS-Verbindungen abzufangen und zu entschlüsseln. Insgesamt fünf Schwachstellen beseitigt der iPhone-Hersteller mit dem Patch in OS X 10.8.5 Mountain Lion, 10.9.5 Mavericks und 10.10.2 Yosemite.
Der Name Freak ist eine Abkürzung für “Factoring Attack on RSA-Export Keys”. Dies bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb. Nach der Installation des Updates unterstützt OS X die schwächeren RSA-Schlüssel nicht mehr.
Außerdem beseitigt das Update Lücken in den Komponenten iCloud Keychain, IOAcceleratorFamily und IOSurface. Sie lassen sich einem Security Advisory zufolge ausnutzen, um Schadcode einzuschleusen und mit Systemrechten auszuführen. Dafür müsste ein Opfer nur eine speziell präparierte Anwendung installieren.
In OS X 10.10 Yosemite steckt zudem eine als kritisch einzustufende Kernel-Lücke. Adressen im Kernel lassen sich mithilfe einer bösartigen Anwendung ermitteln. Die Sicherheitslücke hat offenbar die Hackergruppe TaiG entdeckt, die einen Jailbreak für iOS 8.1.1 entwickelt hatte. Apple hatte die Schwachstelle in iOS 8 jedoch schon im Januar mit der Version 8.1.3 geschlossen.
Apple verteilt das Sicherheitsupdate 2015-002 über die Software-Aktualisierung des Betriebssystems sowie seine Website. Für OS X 10.8.5 Mountain Lion ist es 177,3 MByte groß, für OS X 10.9.5 Mavericks 62,3 MByte und für OS X 10.10.2 Yosemite 5,4 MByte.
Auch für Xcode unter OS X 10.9.4 oder später steht ein Patch bereit. Version 6.2 schließt fünf Sicherheitslücken, von denen 4 in der Apache-Subversion stecken. Außerdem hat Apple die Möglichkeit beseitigt, während einer Synchronisierung mit einem manipulierten Git-Repository beliebige Dateien zu einem Git-Ordner hinzuzufügen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de