Sprachen

Archived - Über den Sicherheitsinhalt der Mac OS X 10.4.8 Aktualisierung und des Security Updates 2006-006

In diesem Dokument werden das Security Update 2006-006 und der Sicherheitsinhalt der Mac OS X 10.4.8 Aktualisierung beschrieben, die mithilfe der Option Software-Aktualisierung oder bei den Apple Downloads geladen und installiert werden können.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gemacht, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie hier: "So verwenden Sie den Apple PGP-Schlüssel für die Produktsicherheit".

CVE IDs werden für die Bezugnahme auf die Schwachstellen in weiteren Informationen verwendet, wo dies möglich ist.

Informationen zu weiteren Security Updates finden Sie hier: Apple Security Updates.

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Mac OS X 10.4.8 und Security Update 2006-006

  • CFNetwork

    CVE-ID: CVE-2006-4390

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 bis Mac OS X 10.4.7, Mac OS X Server 10.4 bis Mac OS X Server 10.4.7

    Auswirkung: CFNetwork Clients, beispielsweise Safari, können nicht-authentifizierte SSL-Websites als authentifiziert erscheinen lassen

    Beschreibung: Verbindungen, die mit SSL erstellt wurden, werden normalerweise authentifiziert und verschlüsselt. Wenn die Verschlüsselung ohne Authentifizierung umgesetzt wird, können nicht-vertrauenswürdige Websites möglicherweise als vertrauenswürdige Websites erscheinen. Im Fall von Safari kann dies dazu führen, dass das Schlossymbol angezeigt wird, wenn die Identität einer entfernten Website nicht vertrauenswürdig ist. Diese Aktualisierung löst das Problem, indem anonyme SSL-Verbindungen per Standard nicht erlaubt werden. Dank an Adam Bryzak von der Queensland University of Technology, der dieses Problem gemeldet hat.

  • Flash Player

    CVE-ID: CVE-2006-3311, CVE-2006-3587, CVE-2006-3588, CVE-2006-4640

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 bis Mac OS X 10.4.7, Mac OS X Server 10.4 bis Mac OS X Server 10.4.7

    Auswirkung: Die Wiedergabe von Flash-Inhalten kann zur Ausführung von willkürlichem Code führen

    Beschreibung: Flash Player enthält kritische Schwachstellen, die bei der Handhabung von in böser Absicht hergestellten Inhalten zur Ausführung von willkürlichem Code führen könnten. Diese Aktualisierung behebt die Probleme, indem Flash Player Version 9.0.16.0 auf Mac OS X 10.3.9 und Flash Player Version 9.0.20.0 auf Mac OS X 10.4 Systemen hinzugefügt wird.

    Weitere Informationen finden Sie auf der Website von Adobe unter: http://www.adobe.com/support/security/bulletins/apsb06-11.html.

  • ImageIO

    CVE-ID: CVE-2006-4391

    Verfügbar für: Mac OS X 10.4 bis Mac OS X 10.4.7, Mac OS X Server 10.4 bis Mac OS X Server 10.4.7

    Auswirkung: Das Betrachten eines in böser Absicht erstellten JPEG2000-Bildes kann zum Absturz des Programms oder der Ausführung eines willkürlichen Codes führen.

    Beschreibung: Durch die sorgfältige Erstellung eines fehlerhaften JPEG2000-Bildes kann ein Angreifer einen Pufferüberlauf auslösen, der den Absturz der Anwendung oder eine willkürliche Code-Ausführung zur Folge hat. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung von JPEG2000-Bildern behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter sind als Mac OS X 10.4. Dank an Tom Saxton von Idle Loop Software Design, der dieses Problem gemeldet hat.

  • Kernel

    CVE-ID: CVE-2006-4392

    Verfügbar für: Mac OS X 10.4 bis Mac OS X 10.4.7, Mac OS X Server 10.4 bis Mac OS X Server 10.4.7

    Auswirkung: Lokale Benutzer können willkürlichen Code möglicherweise mit erhöhten Privilegien ausführen

    Beschreibung: Ein Fehlerhandhabungsmechanismus im Kernel, der als Mach Exception Ports bekannt ist, bietet die Möglichkeit, Programme zu steuern, wenn bestimmte Fehler auftreten. Ein lokaler Benutzer mit böswilligen Absichten könnte diesen Mechanismus verwenden, um willkürlichen Code in privilegierten Programmen auszuführen, falls ein Fehler auftritt. Diese Aktualisierung löst das Problem, indem der Zugriff auf Mach Exception Ports auf privilegierte Programme beschränkt wird. Dank an Dino Dai Zovi von Matasano Security, der dieses Problem gemeldet hat.

  • LoginWindow

    CVE-ID: CVE-2006-4397

    Verfügbar für: Mac OS X 10.4 bis Mac OS X 10.4.7, Mac OS X Server 10.4 bis Mac OS X Server 10.4.7

    Auswirkung: Nach einem fehlgeschlagenen Versuch, sich an einem Netzwerk-Account anzumelden, können Kerberos Tickets anderen lokalen Benutzern zur Verfügung stehen

    Beschreibung: Aufgrund einer nicht-überprüften Fehlerkondition werden Kerberos Tickets möglicherweise nicht korrekt zerstört, nachdem ein Versuch, sich an einem Netzwerk-Account über loginwindow anzumelden, fehlgeschlagen ist. Dies könnte zu einem nicht-authorisierten Zugriff durch einen anderen lokalen Benutzer auf das Kerberos Ticket des vorherigen Benutzers führen. In dieser Aktualisierung wird das Problem durch das Löschen des Beglaubigungs-Cache nach einer fehlgeschlagenen Anmeldung gelöst. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.4 sind. Dank an Patrick Gallagher von Digital Peaks Corporation, der dieses Problem gemeldet hat.

  • LoginWindow

    CVE-ID: CVE-2006-4393

    Verfügbar für: Mac OS X 10.4 bis Mac OS X 10.4.7, Mac OS X Server 10.4 bis Mac OS X Server 10.4.7

    Auswirkung: Kerberos Tickets können möglicherweise anderen lokalen Benutzern zur Verfügung stehen, wenn Fast User Switching aktiviert ist

    Beschreibung: Ein Fehler bei der Handhabung von Fast User Switching kann es einem lokalen Benutzer ermöglichen, Zugang zu den Kerberos Tickets anderer lokaler Benutzer zu erhalten. Fast User Switching wurde aktualisiert, um eine solche Situation zu vermeiden. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.4 sind. Dank an Ragnar Sundblad vom Royal Institute of Technology in Stockholm, der dieses Problem gemeldet hat.

  • LoginWindow

    CVE-ID: CVE-2006-4394

    Verfügbar für: Mac OS X 10.4 bis Mac OS X 10.4.7, Mac OS X Server 10.4 bis Mac OS X Server 10.4.7

    Auswirkung: Netzwerk-Accounts können möglicherweise die loginwindow Dienstzugriffssteuerungen umgehen

    Beschreibung: Dienstzugriffssteuerungen können verwendet werden, um zu beschränken, welche Benutzer sich über loginwindow am System anmelden. Ein Logikfehler in loginwindow ermöglicht es Netzwerk-Accounts ohne GUIDs, die Dienstzugriffssteuerungen zu umgehen. Dieses Problem wirkt sich nur auf Systeme aus, die für die Verwendung von Dienstzugriffssteuerungen für Loginwindow konfiguriert wurden und die es Netzwerk-Accounts ermöglichen, Benutzer ohne GUID zu authentifizieren. Dieses Problem wurde durch die korrekte Handhabung von Dienstzugriffskontrollen in loginwindow gelöst. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.4 sind.

  • Einstellungen

    CVE-ID: CVE-2006-4387

    Verfügbar für: Mac OS X 10.4 bis Mac OS X 10.4.7, Mac OS X Server 10.4 bis Mac OS X Server 10.4.7

    Auswirkung: Nach der Entfernung der Admin-Privilegien eines Accounts kann der Accouht möglicherweise immer noch WebObjects Programme verwalten

    Beschreibung: Durch das Entfernen der Markierung aus dem Feld "Der Benutzer darf diesen Computer verwalten" in den Systemeinstellungen, wird der Account nicht unbedingt aus den Gruppen appserveradm oder appserverusr entfernt. Diese Gruppen ermöglichen es einem Account, WebObjects Programme zu verwalten. Diese Aktualisierung behebt das Problem, indem sichergestellt wird, dass der Account aus den entsprechenden Gruppen entfernt wird. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.4 sind. Dank an Phillip Tejada von Fruit Bat Software, der dieses Problem gemeldet hat.

  • QuickDraw Manager

    CVE-ID: CVE-2006-4395

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 bis Mac OS X 10.4.7, Mac OS X Server 10.4 bis Mac OS X Server 10.4.7

    Auswirkung: Das Öffnen eines in böser Absicht erstellten PICT-Bildes in manchen Programmen kann zum Absturz des Programms oder der Ausführung eines willkürlichen Codes führen.

    Beschreibung: Bestimmte Programme rufen einen nicht unterstützten QuickDraw Vorgang auf, um ein PICT-Bild anzuzeigen. Durch die sorgfältige Erstellung eines fehlerhaften PICT-Bildes kann ein Angreifer einen Speicherfehler in diesen Programmen auslösen, der einen Absturz des Programms oder eine willkürliche Code-Ausführung zur Folge haben kann. Mit diesem Update wird dieses Problem behoben, indem der nicht unterstützte Vorgang verhindert wird.

  • SASL

    CVE-ID: CVE-2006-1721

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 bis Mac OS X 10.4.7, Mac OS X Server 10.4 bis Mac OS X Server 10.4.7

    Auswirkung: Ein entfernter Angreifer kann möglicherweise einen Denial-Of-Service-Angriff an einem IMAP-Server durchführen

    Beschreibung: Ein Problem beim DIGEST-MD5 Verhandlungs-Support bei Cyrus SASL kann zu einem Segmentationsfehler in dem IMAP-Server mit einem in böser Absicht hergestellten Bereichs-Header führen. Diese Aktualisierung löst das Problem durch verbesserte Handhabung von Bereichs-Headern bei Authentifizierungsversuchen.

  • WebCore

    CVE-ID: CVE-2006-3946

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 bis Mac OS X 10.4.7, Mac OS X Server 10.4 bis Mac OS X Server 10.4.7

    Auswirkung: Das Ansehen eines in böser Absicht hergestellten Web-Bilds kann zur Ausführung von willkürlichem Code führen.

    Beschreibung: Ein Speicherverwaltungsfehler bei der Handhabung von bestimmtem HTML-Code in WebKit könnte es einen böswilligen Benutzer ermöglichen, einen Systemabsturz oder möglicherweise auch die Ausführung willkürlichen Codes zu verursachen, während der Benutzer die Seite ansieht. In diesem Update wird das Problem gelöst, indem die Bedingung, die den Überlauf verursacht, verhindert wird. Dank an Jens Kutilek von Netzallee, der dieses Problem gemeldet hat.

  • Workgroup Manager

    CVE-ID: CVE-2006-4399

    Verfügbar für: Mac OS X Server 10.4 bis Mac OS X Server 10.4.7

    Auswirkung: Accounts in einem übergeordnetem NetInfo-Element, die ShadowHash-Kennwörter zu verwenden scheinen, könnten immer noch die Verschlüsselung verwenden

    Beschreibung: Workgroup Manager scheint den Wechsel der Authentifizierungsart von Verschlüsselung zu ShadowHash-Kennworten im übergeordneten NetInfo-Element zu erlauben, während dies jedoch gar nicht der Fall ist. Die Aktualisierung der Ansicht eines Accounts im übergeordneten NetInfo-Element zeigt an, dass die Verschlüsselung noch immer verwendet wird. Dieses Update behebt das Problem, indem es Adminitratoren nicht erlaubt wird, ShadowHash-Kennwörter für Accounts in einem übergeordneten NetInfo-Element zu wählen. Dank an Chris Pepper von The Rockefeller University, der dieses Problem gemeldet hat.

Installationshinweis

Die Software-Aktualisierung zeigt immer die Aktualisierung an, die der jeweiligen Systemkonfiguration entspricht. Nur eine Version wird benötigt.

Security Update 2006-006 wird auf Systemen installiert, die Mac OS X 10.3.9 oder Mac OS X Server 10.3.9 ausführen.

Mac OS X 10.4.8 enthält die Sicherheits-Fehlerbehebungen, die im Security Update 2006-006 vorhanden sind und wird auf Systemen mit Mac OS X 10.4 oder neuer und Mac OS X Server 10.4 oder neuer installiert.

Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert: 06.11.2011
Hilfreich?
Ja
Nein
  • Last Modified: 06.11.2011
  • Article: HT2696
  • Views:

    null

Zusätzliche Supportinformationen zum Produkt