Heute hat Apple das lang erwartete Sicherheits-Update 2010-003 für Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.3 und Mac OS X Server v10.6.3 bereit gestellt. Damit wird die oftmals kritisierte Sicherheitslücke geschlossen, die während des Hackerwettbewerbs Pwn2Own bekannt geworden war.
Dabei wurde über den Safari-Browser in Mac-Systeme eingedrungen. Entgegen erster Vermutungen und nahe liegender Schlussfolgerungen handelt es sich jedoch nicht um eine Sicherheitslücke im Safari selbst, sondern um ein betriebssystemseitiges Sicherheitsproblem in Apples Type Service. Über diese Sicherheitslücke war es offenbar bislang möglich Codesegmente über präparierte Sonderzeichensätze in Dateien ein zu schleusen. Auf diese Weise konnte man Code auf fremden Systemen ausführen.
So ließen sich persönliche Informationen abrufen, Systemeinstellungen ändern, bestimmte Programme ausführen oder gar der ganze Rechner übernehmen. Apple hatte eigene Fehler bereits zugegeben.
Mit dem nun veröffentlichten Update soll damit aber Schluss sein. Das Sicherheits-Update 2010-003 soll alle Lücken im Type Service schließen und die Ausführung von Schadcode unterbinden.
Das Update kann hier herunter geladen werden: http://support.apple.com/kb/HT4131