Apple dicht diverse beveiligingslekken in Mac OS X
Gepubliceerd: Vrijdag 16 februari 2007
Auteur: Wilbert de Vries
Apple heeft donderdag negen updates vrijgegeven die diverse problemen in zijn software moeten aanpakken, waaronder enkele die zijn ontdekt tijdens de 'Month of the Apple bugs'.
Drie van de updates zijn bedoeld om lekken te dichten die zijn ontdekt door onderzoeker Kevin Finisterre en hacker LMH, die in januari een maand lang publiceerden over lekken in Apple-producten.
De updates, gebundeld in Security Update 2007-02, moeten er onder meer voor zorgen dat images eerst worden gevalideerd voordat deze worden gemount. Dit moet voorkomen dat aanvallers een buffer overflow kunnen veroorzaken door een speciale volumenaam te gebruiken.
Ook is het usernotificationcenter-proces zodanig aangepast dat deze na het opstarten zijn groepsrechten verliest. Dit lek was door lokale gebruikers te misbruiken om rootrechten te verkrijgen.
Ook heeft Apple twee lekken in Ichat gedicht die door aanvallers konden worden misbruikt om het systeem te laten vastlopen en zo mogelijk eigen code uit te voeren.
De andere vijf updates zijn allemaal bedoeld om de in de Verenigde Staten gewijzigde zomer- en wintertijd op te vangen. Deze gaat dit jaar in op de tweede zondag in maart (in plaats van de eerste zondag in april).
Zonder patch zouden systemen mogelijk problemen ondervinden. Eerder al waarschuwde Sun bijvoorbeeld dat Java-applicaties hier last van zullen hebben. Een van de updates van Apple is dan ook een nieuwe release van Java for Mac OS X 10.4 om de zogenoemde daylight saving time aan te passen.
Bron: Techworld
