Apple herstelt fouten in Mac OS X met grote update

Apple heeft een update voor Mac OS X uitgebracht die een reeks recente gaten in dat besturingssysteem dicht. De update verhelpt zo'n twintig kwetsbaarheden, waaronder het probleem met onveilig download-bestanden en het recent ontdekte gat waar de Leap-A worm misbruik van maakt.

De fouten stellen Apple-gebruikers bloot aan risico’s waar Windows-gebruikers al enige tijd aan gewend zijn. Gebruikers dienen dan ook standaard na te gaan wat de herkomst en betrouwbaarheid is van een download die via een website of een e-mail binnenkomt. Een bestand kan namelijk kwaadaardige code bevatten die na binnenkomst wordt geïnstalleerd.

De nu uitgebrachte update wijzigt een aantal beveiligingsinstellingen in Mac OS X om Apple-computers te beschermen tegen wormen als Leap-A, die vorige maand opdook. Die worm bevat een Trojan die zich na het binnendringen, installeert en weer verder verspreidt via Apple’s IM-programma iChat. Leap-A verstuurt zichzelf naar alle mensen in de contactlijst van iChat. De update past dat programma aan zodat het de herkomst en betrouwbaarheid controleert van binnenkomende bestanden.

Dezelfde fout - het automatisch accepteren van 'veilige' bestanden - werd ook misbruikt in de mailapplicatie van Mac OS X. Een cracker kan kwaadaardige code vermommen om het een veilig bestand te laten lijk en zo de beveiliging te omzeilen.

Verder konder lokale gebruikers door een fout in de Directory Servives beheerdersrechten verkrijgen (privilege elevation) om bestanden te creëren en manipuleren. Het was door een fout in de afhandeling van IPsec-netwerkverkeer ook mogelijk om denial of service-aanvallen uit te voeren tegen virtuele persoonlijke netwerken.

De beveiligingsupdate, 2006-001, is te verkrijgen via de software update-functie in Mac OS X of via de Apple-website. De update is ook beschikbaar voor de Intel-uitvoering van Apple's besturingssysteem en voor iets oudere versies zoals 10.3.