Informationen zum Sicherheitsinhalt von Mac OS X Lion 10.7.3 und Sicherheitsupdate 2012-001

Dieses Dokument beschreibt den Sicherheitsinhalt von Mac OS X Lion 10.7.3 und das Sicherheitsupdate 2012-001.

In diesem Dokument werden der Sicherheitsinhalt von Mac OS X Lion 10.7.3 und das Sicherheitsupdate 2012-001 beschrieben, die über die Softwareaktualisierung in den Systemeinstellungen oder unter Apple-Downloads geladen und installiert werden können.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
 

Mac OS X Lion 10.7.3 und Sicherheitsupdate 2012-001

  • Adressbuch

    Verfügbar für: OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann CardDAV-Daten abfangen

    Beschreibung: Adressbuch unterstützt SSL (Secure Sockets Layer) für den CardDAV-Zugriff. Durch ein Downgrade-Problem versucht Adressbuch eine unverschlüsselte Verbindung, falls eine verschlüsselte Verbindung nicht zustande kommt. Ein Angreifer in einer privilegierten Netzwerkposition könnte dieses Verhalten ausnutzen, um CardDAV-Daten abzufangen. Dieses Problem wird dadurch behoben, dass ohne Zustimmung des Benutzers kein Downgrade auf eine unverschlüsselte Verbindung erfolgt.

    CVE-ID

    CVE-2011-3444: Bernard Desruisseaux von der Oracle Corporation

  • Apache

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Mehrere Schwachstellen in Apache

    Beschreibung: Apache wird auf Version 2.2.21 aktualisiert, um mehrere Schwachstellen zu beheben, die im schlimmsten Fall zu einem Denial-of-Service führen können. Weitere Informationen finden Sie auf der Apache-Website unter http://httpd.apache.org/.

    CVE-ID

    CVE-2011-3348

  • Apache

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Ein Angreifer kann möglicherweise durch SSL geschützte Daten entschlüsseln

    Beschreibung: Es gibt bekannte Angriffe auf die Vertraulichkeit von SSL 3.0 und TLS 1.0, wenn eine Cipher Suite einen Block-Cipher im CBC-Modus verwendet. Apache deaktivierte die Gegenmaßnahme "empty fragment", welche diese Angriffe verhinderte. Das Problem wird dadurch behoben, dass ein Konfigurationsparameter zur Kontrolle der Gegenmaßnahme bereitgestellt wird und diese standardmäßig aktiviert.

    CVE-ID

    CVE-2011-3389

  • ATS

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten Schrift in der Schriftsammlung kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Daten-Schriftdateien beim Öffnen durch die Schriftsammlung bestand ein Problem mit der Speicherverwaltung in ATS.

    CVE-ID

    CVE-2011-3446: Will Dormann von CERT/CC

  • CFNetwork

    Verfügbar für: OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website kann zur Offenlegung vertraulicher Daten führen

    Beschreibung: Es bestand ein Problem beim Verarbeiten von fehlerhaften URLs in CFNetwork. Beim Zugriff auf eine in böser Absicht erstellten URL, könnte CFNetwork die Anfrage an einen falschen Server senden. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen von Facebook

  • CFNetwork

    Verfügbar für: OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website kann zur Offenlegung vertraulicher Daten führen

    Beschreibung: Es bestand ein Problem beim Verarbeiten von fehlerhaften URLs in CFNetwork. Beim Zugriff auf eine in böswilliger Absicht erstellten URL, könnte CFNetwork unerwartete Antwort-Header senden. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus.

    CVE-ID

    CVE-2011-3447: Erling Ellingsen von Facebook

  • ColorSync

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Das Anzeigen von nicht vertrauenswürdigen Bildern mit eingebettetem ColorSync-Profil kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Bildern mit einem eingebetteten ColorSync-Profil tritt ein Ganzzahlüberlauf auf, der zu einem Stapelpufferüberlauf führen kann. Das Problem betrifft keine Systeme mit Mac OS X Lion.

    CVE-ID

    CVE-2011-0200: binaryproof in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • CoreAudio

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Die Wiedergabe von in böswilliger Absicht erstellten Audioinhalten kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von AAC-codierten Audio-Streams existierte ein Pufferüberlauf. Das Problem betrifft keine Systeme mit Mac OS X Lion.

    CVE-ID

    CVE-2011-3252: Luigi Auriemma in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • CoreMedia

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von H.264-codierten Filmdateien mit CoreMedia konnte zu einem Stapelpufferüberlauf führen.

    CVE-ID

    CVE-2011-3448: Scott Stender von iSEC Partners

  • CoreText

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Anzeigen oder Laden eines Dokuments, das in böswilliger Absicht erstellte eingebettete Schriften enthält, kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Schriftdateien trat ein Use-after-free-Problem auf.

    CVE-ID

    CVE-2011-3449: Will Dormann von CERT/CC

  • CoreUI

    Verfügbar für: OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen

    Beschreibung: Die Verarbeitung langer URLs führte zu einer unbegrenzten Stapel-Bereitstellung. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus.

    CVE-ID

    CVE-2011-3450: Ben Syverson

  • curl

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Ein entfernter Server kann in der Lage sein, die Identität von Clients via GSSAPI-Anforderungen vorzugeben

    Beschreibung: Bei der GSSAPI-Authentifizierung führt libcurl bedingungslos die Übertragung der Anmeldeinformationen durch. Dieses Problem wird durch die Deaktivierung der Übertragung der GSSAPI-Anmeldeinformationen behoben.

    CVE-ID

    CVE-2011-2192

  • Datensicherheit

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann Berechtigungsnachweise eines Benutzers oder andere vertrauliche Daten abfangen

    Beschreibung: Zwei Zertifizierungsstellen in der Liste der vertrauenswürdigen Root-Zertifikate haben eigenständig Zwischenzertifikate für DigiCert Malaysia ausgestellt. DigiCert Malaysia hat Zertifikate mit schwachen Schlüsseln ausgestellt, die sie nicht zurückrufen können. Ein Angreifer mit einer privilegierten Netzwerkposition könnte Berechtigungsnachweise eines Benutzers oder andere vertrauliche Daten abfangen, die für eine Seite mit einem von DigiCert Malaysia ausgegebenen Zertifikat bestimmt sind. Diese Schwachstelle wird durch eine Konfigurationsänderung der Standardsystemeinstellungen behoben, sodass Zertifikate von DigiCert Malaysia als nicht vertrauenswürdig eingestuft werden. Wir danken Bruce Morton von Entrust, Inc. für die Meldung dieses Problems.

  • dovecot

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Ein Angreifer kann möglicherweise durch SSL geschützte Daten entschlüsseln

    Beschreibung: Es gibt bekannte Angriffe auf die Vertraulichkeit von SSL 3.0 und TLS 1.0, wenn eine Cipher Suite einen Block-Cipher im CBC-Modus verwendet. Dovecot deaktivierte die Gegenmaßnahme "empty fragment", welche diese Angriffe verhinderte. Dieses Problem wird durch die Aktivierung der Gegenmaßnahme behoben.

    CVE-ID

    CVE-2011-3389: Apple

  • filecmds

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Dekomprimieren einer in böswilliger Absicht erstellten komprimierten Datei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In dem Befehlszeilentool "dekomprimieren" existierte ein Pufferüberlauf.

    CVE-ID

    CVE-2011-2895

  • ImageIO

    Verfügbar für: OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten TIFF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von ThunderScan-codierten TIFF-Bildern durch libtiff konnte zu einem Pufferüberlauf führen. Dieses Problem wird durch die Aktualisierung von libtiff auf die Version 3.9.5 behoben.

    CVE-ID

    CVE-2011-1167

  • ImageIO

    Verfügbar für: OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Mehrere Schwachstellen in libpng 1.5.4

    Beschreibung: libpng wird auf Version 1.5.5 aktualisiert, um mehrere Schwachstellen zu beseitigen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen können. Weitere Informationen finden Sie auf der libpng-Website unter http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-3328

  • Internetfreigabe

    Verfügbar für: OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Nach einer Systemaktualisierung kann ein durch die Internetfreigabe erstelltes WLAN-Netzwerk möglicherweise Sicherheitseinstellungen verlieren

    Beschreibung: Nach der Aktualisierung auf eine Version von Mac OS X Lion vor 10.7.3 wird die durch die Internetfreigabe verwendete WLAN-Konfiguration möglicherweise auf die Werkseinstellungen zurückgesetzt, wodurch das WEP-Kennwort deaktiviert wird. Dieses Problem betrifft nur Systeme mit aktivierter Internetfreigabe und gemeinsamer Nutzung der WLAN-Verbindung. Dieses Problem wird durch Beibehalten der WLAN-Konfiguration während einer Systemaktualisierung behoben.

    CVE-ID

    CVE-2011-3452: Anonymer Forscher

  • Libinfo

    Verfügbar für: OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website kann zur Offenlegung vertraulicher Daten führen

    Beschreibung: Es bestand ein Problem beim Verarbeiten von Hostname-Suchanfragen in Libinfo. Libinfo könnte falsche Ergebnisse für einen in böswilliger Absicht erstellten Hostname zurücksenden. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus.

    CVE-ID

    CVE-2011-3441: Erling Ellingsen von Facebook

  • libresolv

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Symptom: Programme, die die libresolv-Mediathek von OS X verwenden, können anfällig für die Ausführung willkürlichen Codes oder einen unerwarteten Programmabbruch sein

    Beschreibung: Ein Ganzzahlüberlauf trat beim Parsen von DNS-Ressourceneinträgen auf, der zu einem Stapelpufferüberlauf führen kann.

    CVE-ID

    CVE-2011-3453: Ilja van Sprundel von IOActive

  • libsecurity

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Symptom: Einige EV-Zertifikate werden als vertrauenswürdig eingestuft, auch wenn das dazu gehörige Stammzertifikat als nicht vertrauenswürdig markiert wurde

    Beschreibung: Der Zertifikatcode vertraute einem Stammzertifikat zur Signierung von EV-Zertifikaten, wenn er unter den bekannten EV-Ausstellern aufgeführt war, selbst wenn der Benutzer es in Schlüsselbund als "Nie vertrauen" markiert hatte. Dem Root wurde nicht vertraut, Zertifikate ohne EV zu kennzeichnen.

    CVE-ID

    CVE-2011-3422: Alastair Houghton

  • OpenGL

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Programme, die die OpenGL-Implementierung von OS X verwenden, sind möglicherweise anfällig für eine unerwartete Programmbeendigung oder die Ausführung willkürlichen Codes

    Beschreibung: Bei der Verarbeitung der GLSL-Zusammenstellung gab es mehrere Speicherfehler.

    CVE-ID

    CVE-2011-3457: Chris Evans vom Google Chrome-Sicherheitsteam und Marc Schoenefeld vom Red Hat Security Response Team

  • PHP

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Mehrere Schwachstellen in PHP 5.3.6

    Beschreibung: PHP wird auf Version 5.3.8 aktualisiert, um verschiedene Schwachstellen zu beseitigen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen können. Weitere Informationen finden Sie auf der PHP-Website unter http://www.php.net

    CVE-ID

    CVE-2011-1148

    CVE-2011-1657

    CVE-2011-1938

    CVE-2011-2202

    CVE-2011-2483

    CVE-2011-3182

    CVE-2011-3189

    CVE-2011-3267

    CVE-2011-3268

  • PHP

    Verfügbar für: OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Type 1-Schriften in FreeType kam es zu einem Speicherfehler. Dieses Problem wird durch die Aktualisierung von FreeType auf Version 2.4.7 behoben. Weitere Informationen finden Sie auf der FreeType-Website unter http://www.freetype.org/

    CVE-ID

    CVE-2011-3256: Apple

  • PHP

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Mehrere Schwachstellen in libpng 1.5.4

    Beschreibung: libpng wird auf Version 1.5.5 aktualisiert, um mehrere Schwachstellen zu beseitigen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen können. Weitere Informationen finden Sie auf der libpng-Website unter http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-3328

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten MP4-codierten Datei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von MP4-codierten Dateien bestand ein Problem mit nicht initialisiertem Speicherzugriff.

    CVE-ID

    CVE-2011-3458: Luigi Auriemma und pa_kt, beide in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von in QuickTime-Filmdateien eingebetteten Schrifttabellen trat ein Problem mit der Vorzeichenbehaftung auf.

    CVE-ID

    CVE-2011-3248: Luigi Auriemma in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von rdrf-Atomen in QuickTime-Filmdateien führte zu einem Off-by-One-Pufferüberlauf.

    CVE-ID

    CVE-2011-3459: Luigi Auriemma in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten JPEG2000-Bilddatei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von JPEG2000-Dateien führte zu einem Pufferüberlauf.

    CVE-ID

    CVE-2011-3250: Luigi Auriemma in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Verarbeiten eines in böswilliger Absicht erstellten PNG-Bildes kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von PNG-Dateien führte zu einem Pufferüberlauf.

    CVE-ID

    CVE-2011-3460: Luigi Auriemma in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von FLC-codierten Filmdateien führte zu einem Pufferüberlauf.

    CVE-ID

    CVE-2011-3249: Matt 'j00ru' Jurczyk in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • SquirrelMail

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Mehrere Schwachstellen in SquirrelMail

    Beschreibung: SquirrelMail wird auf Version 1.4.22 aktualisiert, um mehrere Schwachstellen zu beheben, die im schlimmsten Fall zu Cross-Site-Scripting führen können. Das Problem betrifft keine Systeme mit Mac OS X Lion. Weitere Informationen finden Sie auf der SquirrelMail Website unter http://www.SquirrelMail.org/.

    CVE-ID

    CVE-2010-1637

    CVE-2010-2813

    CVE-2010-4554

    CVE-2010-4555

    CVE-2011-2023

  • Subversion

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Der Aufruf einer in böswilliger Absicht erstellten Subversion-Repository kann zur Offenlegung vertraulicher Informationen führen

    Beschreibung: Subversion wird auf Version 1.6.17 aktualisiert, um mehrere Schwachstellen zu beseitigen, die im schlimmsten Fall zur Offenlegung vertraulicher Informationen führen können. Weitere Informationen finden Sie auf der Subversion-Website unter http://subversion.apache.org/.

    CVE-ID

    CVE-2011-1752

    CVE-2011-1783

    CVE-2011-1921

  • Time Machine

    Verfügbar für: OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Ein entfernter Angreifer kann möglicherweise auf durch das System des Benutzers erstellte neue Backups zugreifen

    Beschreibung: Der Benutzer kann ein entferntes AFP-Volume oder eine Time Capsule zur Nutzung für Time Machine-Backups bestimmen. Time Machine überprüfte nicht, ob dasselbe Gerät für die nachfolgenden Sicherungsvorgänge verwendet wurde. Ein Angreifer, der in der Lage ist, das entfernte Volume vorzutäuschen, könnte so auf die durch das System des Benutzers erstellten neuen Backups Zugriff erlangen. Dieses Problem wird durch die Überprüfung der eindeutigen Identifizierungsnummer eines Laufwerks bei Sicherungsvorgängen behoben.

    CVE-ID

    CVE-2011-3462: Michael Roitzsch von der Technischen Universität Dresden

  • Tomcat

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Mehrere Schwachstellen in Tomcat 6.0.32

    Beschreibung: Tomcat wird auf Version 6.0.33 aktualisiert, um mehrere Schwachstellen zu beheben, die im schlimmsten Fall zur Offenlegung vertraulicher Informationen führen können. Tomcat wird nur auf Mac OS X Server-Systemen bereitgestellt. Das Problem betrifft keine Systeme mit Mac OS X Lion. Weitere Informationen finden Sie auf der Tomcat-Website unter http://tomcat.apache.org/.

    CVE-ID

    CVE-2011-2204

  • WebDAV-Freigabe

    Verfügbar für: OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Lokale Benutzer können System-Zugriffsrechte erhalten

    Beschreibung: Bei der Verarbeitung der Benutzerauthentifizierung in der WebDAV-Freigabe trat ein Problem auf. Ein Benutzer mit einem gültigen Account auf dem Server oder einem mit dem Server verbundenen Verzeichnisse könnte die Ausführung willkürlichen Codes mit System-Zugriffsrechten verursachen. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus.

    CVE-ID

    CVE-2011-3463: Gordon Davisson von Crywolf

  • Webmail

    Verfügbar für: OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Die Anzeige einer in böswilliger Absicht erstellten E-Mail-Nachricht kann zur Offenlegung von Nachrichteninhalten führen

    Beschreibung: Bei der Verarbeitung von E-Mail-Nachrichten gab es eine Cross-Site-Scripting-Schwachstelle. Das Problem wird durch eine Aktualisierung von Roundcube Webmail auf Version 0.6 behoben. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus. Weitere Informationen finden Sie auf der Roundcube-Website unter http://trac.roundcube.net/.

    CVE-ID

    CVE-2011-2937

  • X11

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.2, OS X Lion Server 10.7 bis 10.7.2

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Type 1-Schriften in FreeType kam es zu einem Speicherfehler. Dieses Problem wird durch die Aktualisierung von FreeType auf Version 2.4.7 behoben. Weitere Informationen finden Sie auf der FreeType-Website unter http://www.freetype.org/

    CVE-ID

    CVE-2011-3256: Apple

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: