Informationen zum Sicherheitsinhalt von OS X Mountain Lion v10.8.5 und zum Sicherheitsupdate 2013-004

Dieses Dokument beschreibt den Sicherheitsinhalt von OS X Mountain Lion v10.8.5 und des Sicherheitsupdates 2013-004.

Diese können über die Einstellungen Softwareupdate oder über Apple-Downloads heruntergeladen und installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter “Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.“

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter “Apple-Sicherheitsupdates„.

OS X Mountain Lion v10.8.5 und Sicherheitsupdate 2013-004

• Apache

  Verfügbar für: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Mehrere Schwachstellen in Apache

  Beschreibung: In Apache bestehen mehrere Schwachstellen, von denen die schwerwiegendste zu Cross-Site-Scripting führen kann. Diese Probleme wurden durch eine Aktualisierung von Apache auf Version 2.2.24 behoben.

  CVE-ID

  CVE-2012-0883

  CVE-2012-2687

  CVE-2012-3499

  CVE-2012-4558

• Bind

  Verfügbar für:OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Mehrere Schwachstellen in BIND

  Beschreibung: In BIND bestehen mehrere Schwachstellen, von denen die schwerwiegendste zu einem Denial-of-Service führen kann. Diese Probleme wurden durch die Aktualisierung von BIND auf Version 9.8.5-P1 behoben. CVE-2012-5688 wirkte sich nicht auf Systeme mit Mac OS X v10.7 aus.

  CVE-ID

  CVE-2012-3817

  CVE-2012-4244

  CVE-2012-5166

  CVE-2012-5688

  CVE-2013-2266

• Certificate Trust Policy

  Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Root-Zertifikate wurden aktualisiert

  Beschreibung: Mehrere Zertifikate wurden zur Liste der System-Roots hinzugefügt oder aus dieser entfernt. Die vollständige Liste der erkannten System-Roots kann über die Anwendung „Schlüsselbund“ eingesehen werden.

• ClamAV

  Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

  Auswirkung: Mehrere Schwachstellen in ClamAV

  Beschreibung: Es gibt mehrere Schwachstellen in ClamAV , von denen die schwerwiegendste zur Ausführung von willkürlichem Code führen kann. Dieses Update behebt die Probleme durch Aktualisierung von ClamAV auf Version 0.97.8.

  CVE-ID

  CVE-2013-2020

  CVE-2013-2021

• CoreGraphics

  Verfügbar für: OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

  Beschreibung: Bei der Verarbeitung von JBIG2-codierten Daten in PDF-Dateien konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

  CVE-ID

  CVE-2013-1025: Felix Groebert vom Google-Sicherheitsteam

• ImageIO

  Verfügbar für: OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

  Beschreibung: Bei der Verarbeitung von JPEG2000-codierten Daten in PDF-Dateien konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

  CVE-ID

  CVE-2013-1026: Felix Groebert vom Google-Sicherheitsteam

• Installer

  Verfügbar für: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Pakete konnten nach einem Widerruf des Zertifikats geöffnet werden

  Beschreibung: Wenn das Installationsprogramm ein widerrufenes Zertifikat festgestellt hat, wurde ein Dialog mit einer Option zum Fortfahren angezeigt. Das Problem wurde gelöst, indem der Dialog entfernt und alle widerrufenen Pakete abgelehnt wurden.

  CVE-ID

  CVE-2013-1027

• IPSec

  Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Ein Angreifer ist möglicherweise in der Lage, durch IPSec Hybrid Auth geschützte Daten abzufangen

  Beschreibung: Der DNS-Name eines IPSec Hybrid Auth-Servers wurde nicht auf das Zertifikat abgestimmt, sodass ein Angreifer mit einem Zertifikat für einen Server die Identität eines anderen vortäuschen konnte. Dieses Problem wurde durch eine ordnungsgemäße Überprüfung des Zertifikats behoben.

  CVE-ID

  CVE-2013-1028: Alexander Traud von www.traud.de

• Kernel

  Verfügbar für: OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Ein lokaler Netzwerkbenutzer kann einen Denial-of-Service verursachen

  Beschreibung: Eine fehlerhafte Überprüfung im IGMP-Paket-Parsing-Code im Kernel ermöglichte es einem Benutzer, der IGMP-Pakete an das System senden konnte, einen Kernel-Fehler auszulösen. Das Problem wurde durch Entfernen der Überprüfung behoben.

  CVE-ID

  CVE-2013-1029: Christopher Bohn von PROTECTSTAR INC.

• Mobile Device Management

  Verfügbar für: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Passwörter werden möglicherweise für andere lokale Benutzer offengelegt

  Beschreibung: Ein Passwort wurde über die Befehlszeile an mdmclient übergeben, wodurch es für andere Benutzer auf demselben System sichtbar wurde. Das Problem wurde durch die Übermittlung des Passworts über eine Pipe behoben.

  CVE-ID

  CVE-2013-1030: Per Olofsson von der Universität von Göteborg

• OpenSSL

  Verfügbar für: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Mehrere Schwachstellen in OpenSSL

  Beschreibung: In OpenSSL bestehen mehrere Schwachstellen, von denen die schwerwiegendste zur Preisgabe von Benutzerinformationen führen kann. Diese Probleme wurden durch Aktualisierung von OpenSSL auf Version 0.9.8y behoben.

  CVE-ID

  CVE-2012-2686

  CVE-2013-0166

  CVE-2013-0169

• PHP

  Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Mehrere Schwachstellen in PHP

  Beschreibung: In PHP bestehen mehrere Schwachstellen, von denen die schwerwiegendste zur Ausführung von willkürlichem Code führen kann. Diese Probleme wurden durch eine Aktualisierung von PHP auf Version 5.3.26 behoben.

  CVE-ID

  CVE-2013-1635

  CVE-2013-1643

  CVE-2013-1824

  CVE-2013-2110

• PostgreSQL

  Verfügbar für:OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Mehrere Schwachstellen in PostgreSQL

  Beschreibung: In PostgreSQL bestehen mehrere Schwachstellen, von denen die schwerwiegendste zu Datenbeschädigung oder Berechtigungseskalation führen kann. CVE-2013-1901 betrifft keine Systeme mit OS X Lion. Dieses Update behebt die Probleme, indem es PostgreSQL in Systemen mit OS X Mountain Lion auf Version 9.1.9 und in Systemen mit OS X Lion auf Version 9.0.4 aktualisiert.

  CVE-ID

  CVE-2013-1899

  CVE-2013-1900

  CVE-2013-1901

• Power Management

  Verfügbar für: OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Der Bildschirmschoner startet möglicherweise nicht nach dem angegebenen Zeitraum

  Beschreibung: In den Codesignatur-Tools trat ein Berechtigungsfehler auf. Dieses Problem wurde durch eine verbesserte Verarbeitung der Sperre behoben.

  CVE-ID

  CVE-2013-1031

• QuickTime

  Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

  Beschreibung: Bei der Verarbeitung von ‚idsc‘-Atomen in QuickTime-Filmdateien gab es ein Problem mit der Beschädigung des Speichers. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

  CVE-ID

  CVE-2013-1032: Jason Kratzer in Zusammenarbeit mit iDefense VCP

• Screen Lock

  Verfügbar für: OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Ein Benutzer mit Zugriff auf die Bildschirmfreigabe kann möglicherweise die Bildschirmsperre umgehen, wenn ein anderer Benutzer angemeldet ist

  Beschreibung: Bei der Verarbeitung von Bildschirmfreigabe-Sitzungen durch die Bildschirmsperre gab es ein Problem mit dem Sitzungsmanagement. Das Problem wurde durch eine verbesserte Sitzungsverfolgung behoben.

  CVE-ID

  CVE-2013-1033 : Jeff Grisso von Atos IT Solutions, Sébastien Stormacq

• sudo

  Verfügbar für: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

  Auswirkung: Ein Angreifer, der die Kontrolle über das Konto eines Admin-Benutzers hat, kann möglicherweise Root-Rechte erlangen, ohne das Passwort des Benutzers zu kennen

  Beschreibung: Durch das Einstellen der Systemuhr kann ein Angreifer möglicherweise sudo verwenden, um Root-Rechte auf Systemen zu erlangen, auf denen sudo zuvor verwendet wurde. Unter OS X können nur Admin-Benutzer die Systemuhr ändern. Dieses Problem wurde durch die Überprüfung auf einen ungültigen Zeitstempel behoben.

  CVE-ID

  CVE-2013-1775

• Hinweis: OS X Mountain Lion v10.8.5 behebt auch ein Problem, bei dem bestimmte Unicode-Zeichenfolgen dazu führen konnten, dass Anwendungen unerwartet beendet wurden.