De grote update voor het Mac-besturingssysteem bevat ruim dertig patches voor meer dan dertig beveiligingsgaten. Afhankelijk van de huidige versie van de gebruiker is de update tussen de 700 MB en bijna 1,5 GB groot. Onder meer de ingebouwde Apache-server en PHP krijgen een update, maar het in december ontdekte Denial of Service-gat (DoS) in PHP blijft ook na deze update open staan.

Eind december is het bestaan van het diepe lek in onder meer PHP naar buiten gekomen. Het lek zit in bijna alle webservers. Kwaadwillenden kunnen een webserver eenvoudig platleggen door er een speciaal geprepareerd pakket heen te sturen.

DoS-gat blijft open staan

Bijzonder aan dit lek is dat een webserver platgelegd kan worden zonder dat er de verzamelde capaciteit van een botnet nodig is. Een pakket van slechts 100 kilobyte is voldoende om één processorcore van een webserver uit te schakelen. Als er meerdere van die pakketten worden gestuurd, is het mogelijk een multicore-systeem plat te leggen. Een gewone pc met een doorsnee breedbandverbinding volstaat om dit DoS-schot af te vuren.

Het lek is gedicht in PHP versie 5.3.9, maar Apple stuurt in de OS X-update nu versie 5.3.8 mee. Die verouderde versie van de populaire scripttaal is in augustus vorig jaar uitgekomen en dus nog niet voorzien van bescherming tegen het DoS-gat. Dat is gekomen in PHP 5.3.9 die op 10 januari dit jaar is uitgebracht.

Beheerders kunnen zelf wel de instellingen van PHP aanpassen om het probleem te ondervangen. PHP raadt gebruikers aan de parameter 'max_input_vars' aan te passen. Dat moet voor gebruikers op oudere PHP-versies voldoende bescherming tegen het lek bieden.

Meer dan dertig patches

In het nu verschenen updatepakket voor Mac OS X zitten 30 pleisters waarvan sommige meerdere kwetsbaarheden oplossen. Een aantal van die beveiligingsgaten kunnen het crashen van een applicatie en het uitvoeren van code op een getroffen systeem mogelijk maken.

Onder de gaten bevinden zich een aantal problemen met de Apache-webserver. Volgens het support-artikel van Apple wordt een ander denial of service-lek in de ingebouwde webserver gedicht. Een ander Apache-lek maakt het mogelijk SSL-data te onderscheppen en ontcijferen.

Quicktime krijgt zes pleisters

De meeste van de beschreven lekken leveren bij uitbuiting een crashende applicatie op, waarbij dan door middel van een buffer overflow code kan worden uitgevoerd op de getroffen Mac. Dat geldt ook voor Apple's eigen mediaspeler QuickTime, die krijgt met zes patches een flinke opknapbeurt. Het afspelen van bepaalde MP4-bestanden, PNG- en JPEG2000-afbeeldingen kan een buffer overflow veroorzaken.

Vrijwel alle beschreven updates hebben ook betrekking op Mac OS X 10.6.8 (Snow Leopard). Naast de genoemde beveiligingspatches brengt het updatepakket van Apple ook de toevoeging van een aantal talen aan Safari. De updates worden aan alle gebruikers aangeboden via de automatische update-tool die is ingebouwd in het besturingssysteem, maar de updates zijn ook direct bij Apple te downloaden.