Über den Sicherheitsinhalt des Security Update 2009-001

In diesem Dokument wird das Security Update 2009-001 beschrieben, das über die Option Softwareaktualisierung in den Systemeinstellungen oder über Apple Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE IDs verwendet.

Informationen zu weiteren Security Updates finden Sie unter "Apple Security Updates".

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Security Update 2009-001

  • AFP Server

    CVE-ID: CVE-2009-0142

    Verfügbar für: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Ein Benutzer mit einer Verbindungsmöglichkeit zum AFP-Server kann einen Denial-of-Service auslösen.

    Beschreibung: Eine Wettlaufsituation (Race Condition) in einem AFP-Server kann zu einer Endlosschleife führen. Das Aufzählen von Dateien auf einem AFP-Server kann zu einem Denial-of-Service führen. Mit diesem Update wird das Problem durch eine bessere Dateiaufzählungslogik behoben. Dieses Problem betrifft nur Systeme, auf denen Mac OS X 10.5.6 ausgeführt wird.

  • Apple Pixlet Video

    CVE-ID: CVE-2009-0009

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Das Öffnen einer in böser Absicht erstellten Videodatei kann zu einer unerwarteten Programmbeendigung oder der Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Verarbeitung von Dateien mit dem Pixlet-Codec tritt ein Fehler im Speicher auf. Das Öffnen einer in böser Absicht erstellten Filmdatei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dank an: Apple

  • CarbonCore

    CVE-ID: CVE-2009-0020

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Das Öffnen einer Datei mit einer in böser Absicht erstellten Resource Fork kann zu einer unerwarteten Programmbeendigung oder der Ausführung von beliebigem Code führen.

    Beschreibung: Es gibt ein Problem bei der Verarbeitung von Resource Forks im Resource Manager. Das Öffnen einer Datei mit einer in böser Absicht erstellten Resource Fork kann zu einer unerwarteten Programmbeendigung und zur Ausführung von beliebigem Code führen. Das vorliegende Update löst dieses Problem durch eine verbesserte Validierung der Resource Forks. Dank an: Apple

  • CFNetwork

    Verfügbar für: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Stellt die korrekte Verarbeitung von Cookies ohne Ablaufzeiten wieder her

    Beschreibung: Dieses Update betrifft eine nicht sicherheitsrelevante Einschränkung, die mit Mac OS X 10.5.6 eingeführt wurde. Cookies werden nicht korrekt eingerichtet, wenn eine Webseite versucht, einen Sitzungscookie mit einem Nullwert im Feld für den Ablaufzeitpunkt einzufügen, anstatt das Feld frei zu lassen. Dieses Update behebt das Problem, indem das Feld für den Ablaufzeitpunkt ignoriert wird, wenn es einen Nullwert enthält.

  • CFNetwork

    Verfügbar für: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Stellt die korrekte Verarbeitung von Sitzungscookies in mehreren Programmen wieder her

    Beschreibung: Dieses Update betrifft eine nicht sicherheitsrelevante Einschränkung, die mit Mac OS X 10.5.6 eingeführt wurde. CFNetwork speichert evtl. keine Cookies auf die Festplatte, wenn mehrere geöffnete Programme versuchen, SItzungscookies zu speichern. Dieses Update behebt das Problem, indem sichergestellt wird, dass jedes Programm die eigenen Sitzungscookies separat speichert.

  • Zertifikatsassistent

    CVE-ID: CVE-2009-0011

    Verfügbar für: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Ein lokaler Benutzer kann Dateien mithilfe der Zugriffsrechte eines anderen Benutzers durch Ausführen des Zertifkatsassistenten verändern.

    Beschreibung: Bei der Bearbeitung temporärer Dateien mit dem Zertifikatsassistenten kommt es zu einem unsicheren Dateivorgang. Dadurch könnte ein lokaler Benutzer Dateien mithilfe der Zugriffsrechte eines anderen Benutzers überschreiben, wenn er den Zertifkatsassistenten ausführt. Dieses Update löst das Problem durch eine verbesserte Verarbeitung temporärer Dateien. Das Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Dank an: Apple.

  • ClamAV

    CVE-ID: -2008-, CVE-5050, CVE-2008-5314

    Verfügbar für: Mac OS X Server 10.4.11, Mac OS X Server 10.5.6

    Symptom: Mehrere Schwachstellen in ClamAV 0.94

    Beschreibung: ClamAV 0.94 hat mehrere Schwachstellen, von denen die schwerwiegendste zur Ausführung von beliebigem Code führen kann. Dieses Update behebt diese Probleme per Aktualisierung von ClamAV auf Version 0.94.2. ClamAV wird nur mit Mac OS X Server Systemen vertrieben. Weitere Informationen erhalten Sie auf der ClamAV Website unter http://www.clamav.net/

  • CoreText

    CVE-ID: CVE-2009-0012

    Verfügbar für: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Das Anzeigen von in böser Absicht erstellten Unicode-Inhalten kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Bearbeitung von Unicode-Zeichenketten kann in CoreText ein Stapelüberlauf auftreten. Beim Verwenden von CoreText zur Anzeige oder Bearbeitung von Unicode-Strings, z. B. beim Anzeigen von in böser Absicht erstellten Webseiten, kann es zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code kommen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter sind als Mac OS X 10.5. Dank an Rosyna von Unsanity für die Meldung dieses Problems.

  • CUPS

    CVE-ID: CVE-2008-5183

    Verfügbar für: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Codes führen.

    Beschreibung: Das Überschreiten der maximalen Anzahl von RSS-Abonnements führt zu einem Nullzeigerverweis in der CUPS-Web-Schnittstelle. Dadurch kann ein Programm unerwartet beendet werden, wenn eine in böser Absicht erstellte Website aufgerufen wird. Um diesen Fehler auszulösen, müssen die gültigen Benutzerdaten entweder dem Angreifer bekannt sein oder sich im Zwischenspeicher des Webbrowsers befinden. CUPS wird automatisch neu gestartet, nachdem dieser Fehler ausgelöst wurde. Dieses Update behebt das Problem durch eine verbesserte Handhabung der Anzahl von RSS-Abonnements. Das Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind.

  • DS Tools

    CVE-ID: CVE-2009-0013

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: An dcsl übertragene Kennwörter sind für andere lokale Benutzer zugänglich.

    Beschreibung: Für das Befehlszeilentool "dscl" war es erforderlich, dass Kennwörter in dessen Argumenten an das Tool weitergegeben werden. Somit waren die Kennwörter möglicherweise für andere lokale Benutzer zugänglich. Dazu gehörten Kennwörter von Benutzern und Administratoren. Durch diese Aktualisierung wird der Kennwortparameter optional, und dscl fordert bei Bedarf zur Eingabe des Kennworts auf. Dank an: Apple

  • fetchmail

    CVE-ID: -4565, CVE-2008-, CVE-2007-2711

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Mehrere Schwachstellen in fetchmail 6.3.8

    Beschreibung: In fetchmail 6.3.8 sind mehrere Schwachstellen vorhanden, die ggf. zu einem Denial-of-Service führen können. In diesem Update wird dieses Problem durch die Aktualisierung auf Version 6.3.9 behoben. Weitere Informationen finden Sie auf der fetchmail-Website unter http://fetchmail.berlios.de/.

  • Folder Manager

    CVE-ID: CVE-2009-0014

    Verfügbar für: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Andere lokale Benutzer können auf den Ordner "Downloads" zugreifen

    Beschreibung: Es gibt ein Problem mit den Standardzugriffsrechten in Folder Manager. Wenn ein Benutzer seinen Download-Ordner löscht und Folder Manager diesen wiederherstellt, dann wird der Ordner mit einer Leseberechtigung für alle Benutzer erstellt. Dieses Update behebt das Problem, indem Folder Manager für diesen Ordner nur noch dem entsprechenden Benutzer Zugriffsrechte zuteilt. Dieses Problem betrifft nur Programme, die Folder Manager verwenden. Es hat keinen Einfluss auf Systeme, die älter als Mac OS X 10.5 sind. Dank an Graham Perrin von CENTRIM, University of Brighton, der dieses Problem gemeldet hat.

  • FSEvents

    CVE-ID: CVE-2009-0015

    Verfügbar für: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Wenn das FSEvents-Framework verwendet wird, kann ein lokaler Benutzer in der Lage sein, Dateisystemaktivitäten anzuzeigen, die andernfalls nicht sichtbar wären.

    Beschreibung: Es liegt ein Problem mit der Berechtigungsverwaltung in fseventsd vor. Wenn das FSEvents-Framework verwendet wird, kann ein lokaler Benutzer in der Lage sein, Dateisystemaktivitäten anzuzeigen, die andernfalls nicht sichtbar wären. Dazu gehört auch der Name von Verzeichnissen, die der Benutzer andernfalls nicht anzeigen könnte, und die Anzeige der Verzeichnisaktivitäten zu einem bestimmten Zeitpunkt. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Berechtigungsvalidierung in fseventsd behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter sind als Mac OS X 10.5. Dank an Mark Dalrymple für die Meldung dieses Problems.

  • Netzwerkzeit

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Auswirkung: Die Konfiguration des Netzwerkzeitdienstes wurde aktualisiert.

    Beschreibung: Als vorbeugende Sicherheitsmaßnahme ändert dieses Update die Standardkonfiguration für den Netzwerkzeitdienst. Systemzeit und Versionsinformation werden in der Standardkonfiguration von ntpd nicht mehr verfügbar sein. Bei Mac OS X 10.4.11 Systemen tritt die neue Konfiguration nach einem Neustart des Systems in Kraft, wenn der Netzwerksystemdienst aktiviert ist.

  • perl

    CVE-ID: CVE-2008-1927

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Das Verwenden von regulären Ausdrücken mit UTF-8-Zeichen kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Verarbeitung bestimmter UTF-8-Zeichen in regulären Ausdrücken tritt ein Fehler im Speicher auf. Das Parsing von in böser Absicht erstellten regulären Ausdrücken kann zu einer unerwarteten Programmbeendigung oder der Ausführung ´von beliebigem Code führen. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung regulärer Ausdrücke behoben.

  • Drucken

    CVE-ID: CVE-2009-0017

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Lokale Benutzer könnten System-Zugriffsrechte erhalten

    Beschreibung: In csregprinter gibt es ein Problem mit der Fehlerbehandlung, das zu einem Stapelpufferüberlauf führen kann. Dadurch können lokale Benutzer Systemzugriffsrechte erhalten. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Fehlerbehandlung behoben. Wir danken Lars Haulin für die Meldung dieses Problems.

  • Python

    CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Mehrere Schwachstellen in Python

    Beschreibung: Python weist mehrere Schwachstellen auf, von denen die schwerwiegendste zur Ausführung von beliebigem Code führen kann. Mit diesem Update wird das Problem mithilfe von Patches aus dem Python-Projekt behoben.

  • Remote Apple Events

    CVE-ID: CVE-2009-0018

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Das Senden von Remote Apple Events kann zur Freigabe sensibler Informationen führen.

    Beschreibung: In Remote Apple Events Server gibt es ein Problem mit nicht initialisierten Puffern, das zur Freigabe von Speicherinhalten an Netzwerk-Clients führen kann. Mit diesem Update wird das Problem mithilfe einer verbesserten Speicherinitialisierung behoben. Dank an: Apple

  • Remote Apple Events

    CVE-ID: CVE-2009-0019

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Das Aktivieren von Remote Apple Events kann zur unerwarteten Programmbeendigung und zur Freigabe vertraulicher Informationen führen.

    Beschreibung: In Remote Apple Events ist ein Speicherzugriff außerhalb der Abgrenzung möglich. Das Aktivieren von Remote Apple Events kann zur unerwarteten Programmbeendigung und zur Freigabe vertraulicher Informationen an Netzwerk-Clients führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dank an: Apple

  • Safari RSS

    CVE-ID: CVE-2009-0137

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Der Zugriff auf eine in bösartiger Absicht erstellten feed: URL kann zur Ausführung von beliebigem Code führen.

    Beschreibung: In Safari gibt es bei der Handhabung von feed: URLs mehrere Probleme mit der Eingangsvalidierung. Die Fehler ermöglichen das Ausführen von beliebigem JavaScript-Code in der lokalen Sicherheitszone. Mit diesem Update wird das Problem durch eine verbesserte Handhabung des in feed: URLs eingebetteten JavaScript behoben. Dank an Clint Ruoho von Laconic Security, Billy Rios von Microsoft und Brian Mastenbrook für die Meldung dieses Problems.

  • servermgrd

    CVE-ID: CVE-2009-0138

    Verfügbar für: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Entfernte Angreifer können ohne gültigen Berechtigungsnachweis auf Server Manager zugreifen.

    Beschreibung: Ein Problem bei der Validierung von Identifikationsberechtigungsnachweisen in Server Manager könnte es einem entfernten Angreifer ermöglichen, die Systemkonfiguration zu ändern. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung der Identifikationsberechtigungsnachweise behoben. Das Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Dank an: Apple.

  • SMB

    CVE-ID: CVE-2009-0139

    Verfügbar für: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Die Verbindung zu einem in böser Absicht erstellten SMB-Dateisystem kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code mit Systemzugriffsrechten führen.

    Beschreibung: Ein Ganzzahl-Überlauf im SMB-Dateisystem kann zu einem Stapelpufferüberlauf führen. Die Verbindung zu einem in böser Absicht erstellten SMB-Dateisystem kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code mit Systemzugriffsrechten führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Das Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Dank an: Apple.

  • SMB

    CVE-ID: CVE-2009-0140

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Die Verbindung zu einem in böser Absicht erstellten SMB-Fileserver kann zu einem unerwarteten Abschalten des Systems führen.

    Beschreibung: Es gibt ein Problem bei der Verarbeitung von Dateisystemnamen im SMB-Dateisystem. Die Verbindung zu einem in böser Absicht erstellten SMB-Fileserver kann zu einem unerwarteten Abschalten des Systems führen. Mit diesem Update wird das Problem behoben, indem der dem Client zugewiesene Speicher für Dateisystemnamen begrenzt wird. Dank an: Apple

  • SquirrelMail

    CVE-ID: CVE-2008-2379, CVE-2008-3663

    Verfügbar für: Mac OS X Server 10.4.11, Mac OS X Server 10.5.6

    Symptom: Mehrere Schwachstellen in SquirrelMail

    Beschreibung: SquirrelMail wird auf Version 1.4.17 aktualisiert, um mehrere Schwachstellen zu beheben, die im schlimmsten Fall zu Cross-Site-Scripting führen können. Weitere Informationen finden Sie auf der SquirrelMail Website unter http://www.SquirrelMail.org/ .

  • X11

    CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Mehrere Schwachstellen im X11 Server

    Beschreibung: Es gibt mehrere Schwachstellen im X11 Server. Die schwerwiegendsten können zur Ausführung von beliebigem Code mit den Zugriffsrechten des Benutzers führen, der den X11 Server ausführt, wenn der Angreifer sich beim X11 Server erfolgreich authentifizieren kann. Mit diesem Update wird das Problem mithilfe von aktualisierten X.Org Patches behoben. Weitere Informationen erhalten Sie auf der X.Org Website unter http://www.x.org/wiki/Development/Security .

  • X11

    CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Symptom: Mehrere Schwachstellen in FreeType 2.1.4

    Beschreibung: In FreeType 2.1.4 gibt es mehrere Schwachstellen, die im schlimmsten Fall zum Ausführen von beliebigem Code beim Bearbeiten von in böser Absicht erstellten Schriftartdaten führen können. Mit diesem Update wird das Problem mithilfe der Sicherheitskorrekturen der Version 2.3.6 von FreeType behoben. Weitere Informationen finden Sie auf der FreeType Webseite unter http://www.freetype.org/. Die genannten Probleme sind in Systemen mit Mac OS X 10.5.6 bereits behoben.

  • X11

    CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Symptom: Mehrere Schwachstellen in LibX11

    Beschreibung: In LibX11 gibt es mehrere Schwachstellen, die im schlimmsten Fall zum Ausführen von beliebigem Code beim Bearbeiten von in böser Absicht erstellten Schriftartdaten führen können. Mit diesem Update wird das Problem mithilfe von aktualisierten X.Org Patches behoben. Weitere Informationen erhalten Sie auf der X.Org Website unter http://www.x.org/wiki/Development/Security . Die genannten Schwachstellen betreffen keine Systeme mit Mac OS X 10.5 oder neuer.

  • XTerm

    CVE-ID: CVE-2009-0141

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Symptom: Ein lokaler Benutzer kann Informationen direkt an Xterm eines anderen Benutzers senden.

    Beschreibung: Es gibt ein Problem mit den Zugriffsrechten in Xterm. Wenn Xterm mit luit verwendet wird, erstellt Xterm tty-Geräte, auf die jeder Benutzer zugreifen kann. Dieses Update behebt das Problem so, dass Xterm bei tty-Geräten nur noch Zugriffsrechte für den betreffenden Benutzer zuteilt.

Wichtig: Der Hinweis auf Websites und Produkte Dritter dient ausschließlich informativen Zwecken und ist weder als Billigung noch als Empfehlung zu verstehen Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Websites Dritter angeboten werden. Apple stellt seinen Kunden diese Informationen nur als Serviceleistung zur Verfügung. Apple hat die Informationen, die auf diesen Sites angeboten werden, nicht geprüft und macht keine Angaben in Bezug auf deren Korrektheit und Zuverlässigkeit. Die Verwendung aller Informationen und Produkte, die im Internet angeboten werden, unterliegt bestimmten Risiken; Apple übernimmt diesbezüglich keine Verantwortung. Bitte haben Sie Verständnis dafür, dass Websites Dritter von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Websites hat. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert:
Hilfreich?

Zusätzliche Supportinformationen zum Produkt

Deutschland (Deutsch)