MacMacken

Für die Druckfunktionen von Mac OS X verwendet Apple in erster Linie das Common Unix Printing System (CUPS) – aus diesem Grund hat Apple CUPS im letzten Jahr gekauft. Umso peinlicher war es, als Apple Ende 2007 nicht in der Lage war, ein CUPS-Sicherheitsproblem innert nützlicher Frist zu beheben. In diesem Zusammenhang erstaunt, dass Mac OS X «Leopard» auch jetzt wieder eine veraltete Version von CUPS verwendet …

… die aktuelle stabile CUPS-Version ist 1.3.7 (siehe unten), Mac OS X hingegen verwendet noch 1.3.5 (siehe oben) …

Apple hat erneut eine Sicherheitsaktualisierung für Mac OS X veröffentlicht, unter anderem wird endlich die seit Wochen bestehende CUPS-Sicherheitslücke behoben …

… weitere Sicherheitsaktualisierungen betreffen – unter anderem – das Adressbuch, Apple Mail, Quick Look, Safari, die Softwareaktualisierung und Spotlight. Unerfreulich!

Heute vor einer Woche wurde auf der Website von CUPS, dem Common UNIX Printing System von Apple, das insbesondere auch in Mac OS X Verwendung findet, eine Sicherheitslücke gemeldet. Für Linux-Distributionen, die ebenfalls CUPS verwenden, zum Beispiel Ubuntu Linux, stehen inzwischen entsprechenden Aktualisierungen zur Verfügung …

… während Apple im Gegensatz dazu bislang weder über das Sicherheitsproblem informierte noch eine aktualisierte Version von CUPS anbietet. Apple und die Sicherheit von Mac OS X bleibt ein leidiges Thema!

Fürs Drucken auf dem Mac (und auch unter Linux) kommt standardmässig das Common Unix Printing System (CUPS) zum Einsatz, seit Anfang 2007 befindet sich CUPS im Besitz von Apple.

Bild: Flickr-Benutzer «*manci*», BY-NC-SA 2.0-Lizenz von Creative Commons

Nach Angaben von Secunia vom gestrigen Mittwoch ist die momentan von Mac OS X verwendete CUPS-Version unsicher, bei Heise Online wird das Problem wie folgt beschrieben …

Über einen Buffer Overflow im Druckdienst für Unix-Systeme CUPS (Common UNIX Printing System) soll es nach Angaben von Secunia möglich sein, in einen Server einzudringen und diesen unter seine Kontrolle zu bringen. Üblicherweise ist CUPS nur in lokalen Netzen erreichbar, sodass das Risiko eines erfolgreichen Angriffs begrenzt ist. Der Fehler wurde in Version 1.3.3 entdeckt, vorherige Versionen sind wahrscheinlich ebenfalls verwundbar.

(weiterlesen…)