OS X 10.11 El Capitan schließt 100 Sicherheitslücken

Das seit gestern Abend erhältliche kostenlose Update auf OS X 10.11 El Capitan enthält auch Fixes für 100 Sicherheitslücken. Sie stecken laut Apple in Mac OS X 10.6.8 Snow Leopard und später. Die Anfälligkeiten können benutzt werden, um sensible Daten auszuspähen oder gar Schadcode einzuschleusen und mit Systemrechten auszuführen. Einige der Anfälligkeiten beseitigte Apple vor zwei Wochen mit dem Update auf iOS 9 auch in seinem Mobilbetriebssystem.

Einer Sicherheitswarnung zufolge stecken die Schwachstellen unter anderem in Komponenten wie Adressbuch, Apple Online Store Kit, CoreText, DevTools, Finder, Kernel, Mail, Notes, Terminal und Time Machine. Angreifer erhalten darüber unter Umständen Zugriffe auf Inhalte der Passwortverwaltung Keychain. Es kann aber auch vorkommen, dass OS X Dateien nicht sicher aus dem Papierkorb löscht oder eine schädliche App verhindert, dass das System startet.

TCP-Verbindungen sind aufgrund einer Kernel-Lücke anfällig für Denial-of-Service-Angriffe. Ein anderer Kernelfehler erlaubt es, das IPv6-Routing zu deaktivieren. Ein Hacker benötigt dafür allerdings einen Zugang zum lokalen Netzwerk. Apples E-Mail-Anwendung sowie die Notizen App geben möglicherweise private Informationen preis.

Darüber hinaus hat Apple auch zahlreiche Anwendungen von Drittanbietern aktualisiert, darunter Apache_mod_php, bash, Intel Display Driver, OpenSSH, OpenSSL, Ruby und SQLite. Auch hier könnte ein Angreifer unter Umständen die vollständige Kontrolle über ein System erlangen.

Apple verteilt das Update auf OS X 10.11 El Capitan über den Mac App Store. Betroffene Nutzer sollten es schnellstmöglich installieren. Für ältere Mac-OS-Versionen steht offenbar bisher kein separates Update zur Verfügung.

Der erst kürzlich bekannt gewordene Fehler in Gatekeeper, der das Einschleusen unsignierter Apps ermöglicht, ist dem Entdecker der Lücke zufolge noch nicht behoben worden – obwohl Apple die Lücke seit mehr als 60 Tagen kennt. AppleInsider weist zudem darauf hin, dass seit Oktober 2014 eine Lücke in Keychain einem Hacker den Diebstahl privater Daten erlaubt. Apple habe dem Forscher Luyi Xing von der Indiana University Bloomington darüber informiert, dass für einen Patch die Infrastruktur von Keychain grundlegend überarbeitet werden müsse – was Apple offenbar noch nicht geschafft hat.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.