Informationen zum Sicherheitsupdate 2009-006/Mac OS X 10.6.2

In diesem Dokument wird der Sicherheitsinhalt vom Sicherheitsupdate 2009-006/Mac OS X 10.6.2 beschrieben.

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates".

Sicherheitsupdate 2009-006/Mac OS X 10.6.2

  • AFP-Client

    CVE-ID: CVE-2009-2819

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Auswirkung: Der Zugriff auf einen in böser Absicht erstellten AFP-Server kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes mit Systemzugriffsrechten führen

    Beschreibung: Beim AFP-Client gibt es mehrere Speicherprobleme. Der Zugriff auf einen in böser Absicht erstellten AFP-Server kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes mit Systemzugriffsrechten führen. Mit diesem Update werden die Probleme durch verbesserte Abgrenzungsüberprüfungen behoben. Diese Probleme betreffen keine Systeme mit Mac OS X 10.6. Dank an Apple.

  • Adaptive Firewall

    CVE-ID: CVE-2009-2818

    Verfügbar für: Mac OS X Server 10.5.8, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Eine Brute-Force- oder Lexikonattacke zur Ermittlung eines SSH-Anmeldekennworts wird unter Umständen nicht von Adaptive Firewall erkannt

    Beschreibung: Adaptive Firewall reagiert auf verdächtige Aktivitäten, z. B. auf ungewöhnlich häufige Zugriffsversuche, mit der Erstellung einer temporären Regel zur Einschränkung des Zugriffs. Unter bestimmten Umständen kann Adaptive Firewall keine SSH-Anmeldeversuche unter Verwendung ungültiger Benutzernamen erkennen. Das vorliegende Update löst dieses Problem durch eine verbesserte Erkennung ungültiger SSH-Anmeldeversuche. Dieses Problem betrifft nur Systeme, auf denen Mac OS X Server ausgeführt wird. Dank an Apple.

  • Apache

    CVE-ID: CVE-2009-0023, CVE-2009-1191, CVE-2009-1195, CVE-2009-1890, CVE-2009-1891, CVE-2009-1955, CVE-2009-1956

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Mehrere Schwachstellen in Apache 2.2.11

    Beschreibung: Apache wird auf Version 2.2.13 aktualisiert, um mehrere Schwachstellen zu beheben, die ggf. zur Eskalation von Rechten führen können. Weitere Informationen finden Sie auf der Apache-Website unter http://httpd.apache.org/.

  • Apache

    CVE-ID: CVE-2009-2823

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Ein entfernter Angreifer kann per Cross-Site-Scripting Angriffe gegen den Apache-Webserver ausführen

    Beschreibung: Der Apache-Webserver lässt die TRACE HTTP-Methode zu. Ein entfernter Angreifer kann diese Möglichkeit nutzen, um mittels Cross-Site-Scripting Angriffe über bestimmte Web-Client-Software auszuführen. Dieses Problem wird durch die Aktualisierung der Konfiguration behoben, sodass die Unterstützung für die TRACE-Methode deaktiviert wird.

  • Apache Portable Runtime

    CVE-ID: CVE-2009-0023, CVE-2009-1955, CVE-2009-1956, CVE-2009-2412

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Programme, die Apache Portable Runtime (apr) verwenden, können zur Ausführung beliebigen Codes ausgenutzt werden

    Beschreibung: In Apache Portable Runtime (apr) können mehrere Ganzzahlüberläufe auftreten, die zu einer unerwarteten Programmbeendigung oder zur Ausführung beliebigen Codes führen können. Diese Probleme werden auf Systemen mit Mac OS X 10.6 durch das Aktualisieren von Apache Portable Runtime auf Version 1.3.8 und bei Systemen mit Mac OS X 10.5.8 durch Anwenden der Apache Portable Runtime-Patches behoben. Systeme mit Mac OS X 10.6 sind nur von CVE-2009-2412 betroffen. Weitere Informationen finden Sie auf der Apache Portable Runtime-Website unter http://apr.apache.org/

  • ATS

    CVE-ID: CVE-2009-2824

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Auswirkung: Das Anzeigen oder Laden eines Dokuments, das in böswilliger Absicht erstellte eingebettete Schriften enthält, kann zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von eingebetteten Schriften in Apple Type Services kommt es zu mehreren Pufferüberläufen. Das Anzeigen oder Laden eines Dokuments, das in böswilliger Absicht erstellte eingebettete Schriften enthält, kann zur Ausführung willkürlichen Codes führen. Mit diesem Update werden die Probleme durch verbesserte Abgrenzungsüberprüfungen behoben. Diese Probleme betreffen keine Systeme mit Mac OS X 10.6. Dank an Apple.

  • Zertifikatsassistent

    CVE-ID: CVE-2009-2825

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Benutzer können getäuscht werden, um ein Zertifikat für eine andere Domain anzunehmen

    Beschreibung: Es gibt ein Implementierungsproblem bei der Verarbeitung von SSL-Zertifikaten, die NUL-Zeichen im Feld für den allgemeinen Namen verwenden. Ein Benutzer kann getäuscht werden, um ein von einem Angreifer erstelltes Zertifikat anzunehmen, das optisch mit der vom Benutzer besuchten Domain übereinstimmt. Dieses Problem ist nur in entschärfter Form vorhanden, da Mac OS X ein solches Zertifikat für keine Domain als gültig interpretiert. Das vorliegende Update löst dieses Problem durch die verbesserte Handhabung von SSL-Zertifikaten.

  • CoreGraphics

    CVE-ID: CVE-2009-2826

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Mehrere Ganzzahlüberlaufe bei der Verarbeitung von PDF-Dateien in CoreGraphics können zu einem Stapelpufferüberlauf führen. Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung eines beliebigen Codes führen. Mit diesem Update werden die Probleme durch verbesserte Abgrenzungsüberprüfungen behoben. Diese Probleme betreffen keine Systeme mit Mac OS X 10.6. Dank an Apple.

  • CoreMedia

    CVE-ID: CVE-2009-2202

    Verfügbar für: Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1.1

    Auswirkung: Das Anzeigen eines in böser Absicht erstellten H.264-Films kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen

    Beschreibung: Bei der Verarbeitung von H.264-Filmdateien kommt es zu einem Speicherfehler. Das Anzeigen einer in böser Absicht erstellten H.264-Filmdatei kann zu einem unerwarteten Programmabbruch oder der Ausführung beliebigen Codes führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter sind als Mac OS X 10.6. Wir danken Tom Ferris vom Adobe Secure Software Engineering-Team für die Meldung dieses Problems.

  • CoreMedia

    CVE-ID: CVE-2009-2799

    Verfügbar für: Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1.1

    Auswirkung: Das Anzeigen eines in böser Absicht erstellten H.264-Films kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen

    Beschreibung: Die Verarbeitung von H.264-Filmdateien kann zu einem Stapelpufferüberlauf führen. Das Anzeigen einer in böser Absicht erstellten H.264-Filmdatei kann zu einem unerwarteten Programmabbruch oder der Ausführung beliebigen Codes führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.6 sind. Wir danken einem anonymen Forscher, der mit TippingPoint und der Zero Day Initiative arbeitet, für die Meldung dieses Problems.

  • CUPS

    CVE-ID: CVE-2009-2820

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Der Zugriff auf eine in böser Absicht erstellte Website oder URL kann zu einer Cross-Site Scripting- oder HTTP Response Splitting-Attacke führen

    Beschreibung: Ein Problem in CUPS kann zu Cross-Site Scripting und HTTP Response Splitting führen. Der Zugriff auf eine in böser Absicht erstellte Webseite oder URL kann es einem Angreifer ermöglichen, auf verfügbare Inhalte des aktuellen lokalen Benutzers über die CUPS-Webschnittstelle zuzugreifen. Dazu können auch die Druckerkonfiguration und die Titel der ausgeführten Druckjobs gehören. Dieses Problem wird durch eine verbesserte Verarbeitung der HTTP-Header und der HTML-Templates behoben. Dank an Apple.

  • Lexikon

    CVE-ID: CVE-2009-2831

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Auswirkung: Ein Benutzer im lokalen Netzwerk kann die Ausführung von beliebigem Code verursachen

    Beschreibung: Ein Designproblem im Lexikon ermöglicht böswillig erstelltem Javascript, beliebige Daten an beliebige Orte im Dateisystem des Benutzers zu schreiben. Dadurch könnte ein anderer Benutzer im lokalen Netzwerk beliebigen Code im System des Benutzers ausführen. Dieses Update behebt das Problem, indem der angreifbare Code entfernt wird. Dieses Problem betrifft keine Systeme mit Mac OS X 10.6. Dank an Apple.

  • DirectoryService

    CVE-ID: CVE-2009-2828

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Auswirkung: Ein entfernter Angreifer kann eine unerwartete Programmbeendigung oder die Ausführung willkürlichen Codes verursachen

    Beschreibung: In DirectoryService tritt ein Speicherfehler auf. Dadurch könnte ein entfernter Angreifer eine unerwartete Programmbeendigung oder die Ausführung beliebigen Codes verursachen. Dieses Update betrifft nur Systeme, die als DirectoryService-Server konfiguriert sind. Mit diesem Update wird das Problem durch eine verbesserte Speicherhandhabung behoben. Dieses Problem betrifft keine Systeme mit Mac OS X 10.6. Dank an Apple.

  • Images

    CVE-ID: CVE-2009-2827

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Auswirkung: Das Laden eines in böswilliger Absicht erstellten Images kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen

    Beschreibung: Die Verarbeitung von Images mit FAT-Dateisystemen kann zu einem Stapelpufferüberlauf führen. Das Laden eines in böswilliger Absicht erstellten Images kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dieses Problem betrifft keine Systeme mit Mac OS X 10.6. Dank an Apple.

  • Dovecot

    CVE-ID: CVE-2009-3235

    Verfügbar für: Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Ein lokaler Benutzer kann eine unerwartete Programmbeendigung oder die Ausführung beliebigen Codes mit Systemrechten verursachen

    Beschreibung: In Dovecot-Sieve (Filter) kann es zu mehreren Pufferüberläufen kommen. Durch das Integrieren eines in böser Absicht erstellten Dovecot-Sieve-Skripts kann ein lokaler Benutzer eine unerwartete Programmbeendigung oder die Ausführung beliebigen Codes mit Systemrechten auslösen. Mit dieser Aktualisierung wird das Problem durch Ausführen einer zusätzlichen Validierung von Dovecot-Sieve-Skripten behoben. Dieses Problem betrifft nur Systeme mit Mac OS X Server. Das Problem betrifft keine Systeme vor Mac OS X 10.6.

  • Event Monitor

    CVE-ID: CVE-2009-2829

    Verfügbar für: Mac OS X Server 10.5.8

    Auswirkung: Ein entfernter Angreifer kann eine Log Injection (Protokollinjektion) verursachen

    Beschreibung: In Event Monitor gibt es ein Log Injection-Problem. Bei einer Verbindung eines SSH-Servers mit in böswilliger Absicht erstellten Authentifikationsdaten kann ein entfernter Angreifer eine Protokollinjektion verursachen. Das kann zu einem Denial of Service führen, sobald die Protokolldaten von anderen Diensten verarbeitet werden. In diesem Update wird das Problem durch ein verbessertes Escaping der XML-Ausgabe behoben. Dieses Problem betrifft nur Systeme mit Mac OS X Server. Dieses Problem betrifft keine Systeme mit Mac OS X 10.6. Dank an Apple.

  • fetchmail

    CVE-ID: CVE-2009-2666

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Fetchmail wird auf 6.3.11 aktualisiert

    Beschreibung: Fetchmail wurde auf Version 6.3.11 aktualisiert, um ein Man-in-the-Middle-Problem zu beheben. Weitere Informationen erhalten Sie über die fetchmail-Website unter http://fetchmail.berlios.de/.

  • file

    CVE-ID: CVE-2009-2830

    Verfügbar für: Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1.1

    Auswirkung: Das Ausführen des Befehls "file" bei einer in böser Absicht erstellten CDF(Common Document Format)-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen

    Beschreibung: Im Befehlszeilen-Tool "file" kann es zu mehreren Pufferüberläufen kommen. Das Ausführen des Befehls "file" bei einer in böser Absicht erstellten CDF (Common Document Format)-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen. Mit diesem Update werden diese Probleme durch die Aktualisierung von "file" auf Version 5.03 behoben. Die Probleme betreffen keine Systeme, die älter sind als Mac OS X 10.6.

  • FTP-Server

    CVE-ID: CVE-2009-2832

    Verfügbar für: Mac OS X Server 10.5.8, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Ein Angreifer mit Zugriff auf FTP und der Möglichkeit, Verzeichnisse auf einem System zu erstellen, kann eine unerwartete Programmbeendigung oder die Ausführung beliebigen Codes verursachen

    Beschreibung: Im Befehlszeilen-Tool "CWD" des FTP-Servers kommt es zu einem Pufferüberlauf. Das Ausführen des Befehls "CWD" auf eine stark verschachtelte Verzeichnisstruktur kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dieses Problem betrifft nur Systeme mit Mac OS X Server. Dank an Apple.

  • Help Viewer

    CVE-ID: CVE-2009-2808

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Das Verwenden von Help Viewer in einem nicht als vertrauenswürdig eingestuften Netzwerk kann zur Ausführung beliebigen Codes führen

    Beschreibung: Help Viewer verwendet kein HTTPS für die Anzeige entfernter Hilfe-Inhalte von Apple. Ein Benutzer im lokalen Netzwerk kann veränderte HTTP-Antworten mit schädlichen help:runscript-Links senden. Mit diesem Update wird das Problem durch den Einsatz von HTTPS beim Aufruf entfernter Hilfe-Inhalte von Apple behoben. Wir danken Brian Mastenbrook für die Meldung des Problems.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Verfügbar für: Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1.1

    Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von TIFF-Bildern in ImageIO kann zu einem Pufferunterlauf führen. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen. Mit diesem Update wurde das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben.

  • Internationale Komponenten für Unicode

    CVE-ID: CVE-2009-2833

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Auswirkung: Programme, die das UCCompareTextDefault-API verwenden, können anfällig für die Ausführung beliebigen Codes oder die unerwartete Beendigung des Programms sein

    Beschreibung: In der UCCompareTextDefault-API tritt ein Pufferüberlauf auf, der zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen kann. Mit diesem Update wird das Problem durch eine verbesserte Speicherverwaltung behoben. Dieses Problem betrifft keine Systeme mit Mac OS X 10.6. Wir danken Nikita Zhuk und Petteri Kamppuri von MK&C für die Meldung dieses Problems.

  • IOKit

    CVE-ID: CVE-2009-2834

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Ein nicht mit den erforderlichen Rechten ausgestatteter Benutzer kann die Tastatur-Firmware verändern

    Beschreibung: Ein nicht mit den entsprechenden Rechten ausgestatteter Benutzer kann die Firmware in einem angeschlossenen USB- oder Bluetooth-Apple Keyboard verändern. Mit diesem Update wird das Problem behoben, indem für das Senden von Firmware an USB- oder Bluetooth-Tastaturen von Apple Systemrechte erforderlich werden. Wir danken K. Chen vom Georgia Institute of Technology für die Meldung dieses Problems.

  • IPSec

    CVE-ID: CVE-2009-1574, CVE-2009-1632

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Mehrere Schwachstellen im Racoon-Daemon können zu einem Denial-of-Service führen

    Beschreibung: In den IPSec-Tools des Racoon Daemon vor Version 0.7.2 können mehrere Schwachstellen zum Denial-of-Service führen. Mit diesem Update wird das Problem durch Anwenden von Patches aus dem IPSec-Tools-Projekt behoben. Weitere Informationen finden Sie auf der IPSec-Tools-Website unter http://ipsec-tools.sourceforge.net/.

  • Kernel

    CVE-ID: CVE-2009-2835

    Verfügbar für: Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1.1

    Auswirkung: Ein lokaler Benutzer kann die Freigabe sensibler Daten, das unerwartete Herunterfahren des Systems oder die Ausführung beliebigen Codes verursachen

    Beschreibung: Es gibt mehrere Validierungsprobleme bei der Kernel-Handhabung von Task State-Segmenten. Dadurch könnte ein lokaler Benutzer die Freigabe sensibler Daten, das unerwartete Herunterfahren des Systems oder die Ausführung beliebigen Codes verursachen. Mit diesem Update wird das Problem durch eine verbesserte Eingabevalidierung behoben. Wir danken Regis Duchesne von VMware, Inc. für die Meldung dieses Problems.

  • Dienste starten

    CVE-ID: CVE-2009-2810

    Verfügbar für: Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1.1

    Auswirkung: Bei dem Versuch, unsichere geladene Inhalte zu öffnen, wird keine Warnung angezeigt

    Beschreibung: Wenn Startdienste aufgerufen werden, um einen in Quarantäne befindlichen Ordner zu öffnen, werden diese rekursiv die Quarantänedaten von allen im Ordner enthaltenen Dateien entfernen. Die entfernten Quarantänedaten dienen dazu, den Benutzer vor dem Öffnen eines Objekts zu warnen. Durch das Entfernen würden Benutzer potenziell unsichere Objekte, z. B. Programme, öffnen können, ohne dass der entsprechende Warnhinweis angezeigt wird. Mit diesem Update wird das Problem behoben, indem die Quarantänedaten nicht mehr aus den Inhalten des Ordners entfernt werden. Das Problem hat keine Auswirkung auf Systeme, die älter sind als Mac OS X 10.6. Dank an Apple.

  • libsecurity

    CVE-ID: CVE-2009-2409

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Die Unterstützung von X.509-Zertifikaten mit MD2-Hashes kann im Zuge der Weiterentwicklung von Angriffen Benutzer der Gefahr von Spoofing und Datenfreigabe aussetzen

    Beschreibung: Es gibt bekannte Kryptografieschwachstellen im MD2-Hash-Algorithmus. Intensive Forschung könnte die Erstellung eines X.509-Zertifikats mit von Angreifern gesteuerten Werten ermöglichen, die vom System als vertrauenswürdig eingestuft würden. Dadurch könnten X.509-basierte Protokolle Spoofing- und Man-in-the-Middle-Angriffen ausgesetzt sein sowie sensible Daten freigeben. Obwohl es in Bezug auf die erforderliche Rechenleistung noch unwahrscheinlich erscheint, einen Angriff auf diese Schwachstelle auszuführen, wird mit diesem Update die Unterstützung von X.509-Zertifikaten mit einem MD2-Hash für jede Verwendung außer für das vertrauenswürdige Root-Zertifikat deaktiviert. Dies ist eine Vorsichtsmaßnahme, um Benutzer bereits im Vorfeld vor möglichen weiterentwickelten Angriffen gegen den MD2-Hash-Algorithmus zu schützen. Wir danken Dan Kaminsky von IOACTIVE und Microsoft Vulnerability Research (MSVR) für die Meldung dieses Problems.

  • libxml

    CVE-ID: CVE-2009-2414, CVE-2009-2416

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Das Parsen von in böswilliger Absicht erstellten XML-Inhalten kann zu einer unerwarteten Programmbeendigung führen

    Beschreibung: Es gibt mehrere Use-After-Free-Probleme in libxml2, von denen die schwerwiegendsten zu einer unerwarteten Programmbeendigung führen kann. Mit diesem Update werden diese Probleme durch eine verbesserte Speicherhandhabung behoben. Wir danken Rauli Kaksonen und Jukka Taimisto vom CROSS-Projekt bei Codenomicon Ltd. für die Meldung dieser Probleme.

  • Anmeldefenster

    CVE-ID: CVE-2009-2836

    Verfügbar für: Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1.1

    Auswirkung: Ein Benutzer kann sich bei einem beliebigen Account ohne Angabe eines Kennworts anmelden

    Beschreibung: Im Anmeldefenster gibt es eine Race-Bedingung. Wenn ein Account im System kein Kennwort hat, z. B. der Gast-Account, kann ein Benutzer sich bei einem beliebigen Account ohne Angabe eines Kennworts anmelden. Dieses Update löst das Problem durch eine verbesserte Zugriffsprüfung. Dieses Problem betrifft keine Systeme, die älter als Mac OS X 10.6 sind.

  • OpenLDAP

    CVE-ID: CVE-2009-2408

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Ein Man-in-the-Middle-Angreifer kann einen vertrauenswürdigen OpenLDAP-Server oder -Benutzer selbst bei Verwendung von SSL imitieren

    Beschreibung: Es gibt ein Implementierungsproblem bei der OpenLDAP-Verarbeitung von SSL-Zertifikaten, die NUL-Zeichen im Feld für den allgemeinen Namen verwenden. Mithilfe eines in böser Absicht erstellten SSL-Zertifikats kann ein Angreifer einen Man-in-the-Middle-Angriff auf OpenLDAP-Transaktionen ausführen, die SSL verwenden. Das vorliegende Update löst dieses Problem durch die verbesserte Handhabung von SSL-Zertifikaten.

  • OpenLDAP

    CVE-ID: CVE-2007-5707, CVE-2007-6698, CVE-2008-0658

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Auswirkung: Mehrere Schwachstellen in OpenLDAP

    Beschreibung: Es sind mehrere Schwachstellen in OpenLDAP vorhanden, von denen die schwerwiegendsten zu einem Denial-of-Service oder zur Ausführung beliebigen Codes führen können. Mit diesem Update wird das Problem durch Anwenden von OpenLDAP-Patches auf die genannten CVE-IDs behoben. Weitere Informationen finden Sie auf der OpenLDAP-Website unter http://www.openldap.org/. Diese Probleme betreffen keine Systeme mit Mac OS X 10.6.

  • OpenSSH

    CVE-ID: CVE-2008-5161

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Auswirkung: Daten in einer OpenSSH-Sitzung können preisgegeben werden

    Beschreibung: In OpenSSH gibt es ein Problem bei der Fehlerbehandlung, das zur Preisgabe bestimmter Daten in einer SSH-Sitzung führen kann. Mit diesem Update wird das Problem durch Aktualisierung von OpenSSH auf Version 5.2p1 behoben. Weitere Informationen finden Sie auf der OpenSSH-Website unter http://www.openssh.com/txt/release-5.2. Dieses Problem betrifft keine Systeme mit Mac OS X 10.6.

  • PHP

    CVE-ID: CVE-2009-3291, CVE-2009-3292, CVE-2009-3293

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Auswirkung: Mehrere Schwachstellen in PHP 5.2.10

    Beschreibung: PHP wird auf Version 5.2.11 aktualisiert, um mehrere Schwachstellen zu beseitigen, von denen die schwerwiegendsten zur Ausführung beliebigen Codes führen können. Weitere Informationen erhalten Sie auf der PHP-Website unter http://www.php.net/. Diese Probleme betreffen keine Systeme mit Mac OS X 10.6.

  • QuickDraw Manager

    CVE-ID: CVE-2009-2837

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten PICT-Bildes kann zu einem unerwarteten Programmabbruch oder der Ausführung beliebigen Codes führen

    Beschreibung: Die Verarbeitung von PICT-Bildern in QuickDraw kann zu einem Stapelpufferüberlauf führen. Das Öffnen eines in böswilliger Absicht erstellten PICT-Bilds kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung von PICT-Bildern behoben. Wir danken Nicolas Joly vom VUPEN Vulnerability Research-Team für die Meldung dieses Problems.

  • QuickLook

    CVE-ID: CVE-2009-2838

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Auswirkung: Das Laden einer in böswilliger Absicht erstellten Microsoft Office-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Ein Ganzzahlüberlauf bei der Verarbeitung von Microsoft Office-Dateien mit QuickLook kann zu einem Pufferüberlauf führen. Das Laden einer in böswilliger Absicht erstellten Microsoft Office-Datei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Mit diesem Update wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dieses Problem betrifft keine Systeme mit Mac OS X 10.6. Dank an Apple.

  • QuickTime

    CVE-ID: CVE-2009-2202

    Verfügbar für: Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1.1

    Auswirkung: Das Anzeigen eines in böser Absicht erstellten H.264-Films kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen

    Beschreibung: Bei der Verarbeitung von H.264-Filmdateien kommt es zu einem Speicherfehler. Das Anzeigen einer in böser Absicht erstellten H.264-Filmdatei kann zu einem unerwarteten Programmabbruch oder der Ausführung beliebigen Codes führen. Mit diesem Update wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dieses Problem wurde bereits in QuickTime 7.6.4 für Mac OS X 10.5.8 und Windows behoben. Wir danken Tom Ferris vom Adobe Secure Software Engineering Team für die Meldung dieses Problems.

  • QuickTime

    CVE-ID: CVE-2009-2799

    Verfügbar für: Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1.1

    Auswirkung: Das Anzeigen eines in böser Absicht erstellten H.264-Films kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen

    Beschreibung: Die Verarbeitung von H.264-Filmdateien kann zu einem Stapelpufferüberlauf führen. Das Anzeigen einer in böser Absicht erstellten H.264-Filmdatei kann zu einem unerwarteten Programmabbruch oder der Ausführung beliebigen Codes führen. Mit diesem Update wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dieses Problem wurde bereits in QuickTime 7.6.4 für Mac OS X 10.5.8 und Windows behoben. Wir danken dem anonymen Mitarbeiter der TippingPoint und der Zero Day Initiative für die Meldung des Problems.

  • QuickTime

    CVE-ID: CVE-2009-2203

    Verfügbar für: Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1.1

    Auswirkung: Das Öffnen einer in böser Absicht erstellten MPEG-4-Videodatei kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen

    Beschreibung: Die Verarbeitung von MPEG-4-Videodateien in QuickTime kann zu einem Stapelpufferüberlauf führen. Das Öffnen einer in böser Absicht erstellten MPEG-4-Videodatei kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen. Mit diesem Update wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dieses Problem wurde bereits in QuickTime 7.6.4 für Mac OS X 10.5.8 und Windows behoben. Wir danken Alex Selivanov für die Meldung dieses Problems.

  • QuickTime

    CVE-ID: CVE-2009-2798

    Verfügbar für: Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1.1

    Auswirkung: Das Öffnen einer in böser Absicht erstellten FlashPix-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von FlashPix-Dateien in QuickTime kann zu einem Stapelpufferüberlauf führen. Das Öffnen einer in böser Absicht erstellten FlashPix-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen. Mit diesem Update wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dieses Problem wurde bereits in QuickTime 7.6.4 für Mac OS X 10.5.8 und Windows behoben. Wir danken Damian Put, der mit TippingPoint und der Zero Day Initiative zusammenarbeitet, für die Meldung dieses Problems.

  • FreeRADIUS

    CVE-ID: CVE-2009-3111

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Auswirkung: Ein entfernter Angreifer kann die Ausführung des RADIUS-Dienstes beenden

    Beschreibung: Es gibt ein Problem bei der Verarbeitung von Access-Request-Meldungen (Zugriffsanfragen) in FreeRADIUS. Ein entfernter Angreifer kann den RADIUS-Dienst beenden, indem er eine Access-Request-Meldung mit einem Tunnel-Password-Attribut mit einer Attributlänge von null sendet. Nach jeder unerwarteten Beendigung wird der RADIUS-Dienst automatisch neu gestartet. Das vorliegende Update behebt dieses Problem durch die verbesserte Überprüfung von Attributen mit einer Länge von Null. Dieses Problem betrifft keine Systeme mit Mac OS X 10.6.

  • Screen-Sharing

    CVE-ID: CVE-2009-2839

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Der Aufruf eines in böser Absicht erstellten VNC-Servers kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen

    Beschreibung: Beim Screen-Sharing-Client gibt es mehrere Speicherfehler. Der Aufruf eines in böser Absicht erstellten VNC-Servers, z. B. durch das Öffnen einer URL "vnc:// URL", kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen. Mit diesem Update werden diese Probleme durch eine verbesserte Speicherhandhabung behoben. Dieses Problem betrifft keine Systeme mit Mac OS X 10.6. Dank an Apple.

  • Spotlight

    CVE-ID: CVE-2009-2840

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Auswirkung: Ein lokaler Benutzer kann Dateien mithilfe der Zugriffsrechte eines anderen Benutzers verändern

    Beschreibung: Bei der Bearbeitung temporärer Dateien mit Spotlight kommt es zu einem unsicheren Dateivorgang. Dadurch könnte ein lokaler Benutzer Dateien mithilfe der Zugriffsrechte eines anderen Benutzers verändern. Diese Aktualisierung behebt das Problem durch eine verbesserte Handhabung temporärer Dateien. Dieses Problem betrifft keine Systeme mit Mac OS X 10.6. Dank an Apple.

  • Subversion

    CVE-ID: CVE-2009-2411

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6, Mac OS X 10.6 und 10.6.1, Mac OS X Server 10.6 und 10.6.1

    Auswirkung: Der Aufruf einer in böser Absicht erstellten Subversion-Repository·kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen

    Beschreibung: In Subversion treten mehrere Stapelüberläufe auf, die zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen können. Diese Probleme werden auf Systemen mit Mac OS X 10.6 durch das Aktualisieren von Subversion auf Version 1.6.5 und bei Systemen mit Mac OS X 10.5.8 durch Anwenden der Subversion-Patches behoben. Weitere Informationen finden Sie auf der Subversion-Website unter http://subversion.apache.org/.

Wichtig: Der Hinweis auf Websites und Produkte Dritter dient ausschließlich informativen Zwecken und ist weder als Billigung noch als Empfehlung zu verstehen Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Websites Dritter angeboten werden. Apple stellt seinen Kunden diese Informationen nur als Serviceleistung zur Verfügung. Apple hat die Informationen, die auf diesen Sites angeboten werden, nicht geprüft und macht keine Angaben in Bezug auf deren Korrektheit und Zuverlässigkeit. Die Verwendung aller Informationen und Produkte, die im Internet angeboten werden, unterliegt bestimmten Risiken; Apple übernimmt diesbezüglich keine Verantwortung. Bitte haben Sie Verständnis dafür, dass Websites Dritter von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Websites hat. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert:
Hilfreich?

Zusätzliche Supportinformationen zum Produkt

Deutschland (Deutsch)