Sprachen

Archiviert - Sicherheitsinhalte von Mac OS X 10.5.5 und Sicherheits-Update 2008-006

In diesem Dokument sind die Sicherheitsinhalte von Mac OS X 10.5.5 und das Sicherheits-Update 2008-006 beschrieben. Das Sicherheits-Update kann unter Software Update oder Apple Downloads heruntergeladen und anschließend installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE IDs verwendet.

Informationen zu weiteren Security Updates finden Sie unter "Apple Security Updates".

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Mac OS X 10.5.5 und Sicherheits-Update 2008-006

  • ATS

    CVE-ID: CVE-2008-2305

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Das Anzeigen eines Dokuments, das einen in böswilliger Absicht erstellten Zeichensatz enthält, kann zu unvorhergesehener Codeausführung führen.

    Beschreibung: Bei der Verarbeitung von PostScript-Schriftnamen in Apple Type Services kommt es zu einem Heap-Puffer-Überlauf. Das Anzeigen eines Dokuments, das einen in böswilliger Absicht erstellten Zeichensatz enthält, kann zu unvorhergesehener Codeausführung führen. Mit diesem Update wird das Problem behoben, da nun eine zusätzliche Validierung von Schriftnamen erfolgt. Wir danken Chris Ries von Carnegie Mellon University Computing Services für die Meldung dieses Problems.

  • BIND

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: BIND wird aktualisiert, um Leistungsprobleme zu beheben.

    Beschreibung: BIND wird auf die Version 9.4.2-P2 aktualisiert, um so Leistungsprobleme zu beheben. Bei Systemen, auf denen Mac OS X 10.4.11 ausgeführt wird, wird BIND auf die Version 9.3.5-P2 aktualisiert. Bei Systemen, auf denen Mac OS X 10.5.4 ausgeführt wird, wird BIND auf die Version 9.4.2-P2 aktualisiert. Weitere Informationen finden Sie auf der ISC-Website unter https://www.isc.org/software/bind.

  • ClamAV

    CVE-ID: CVE-2008-1100, CVE-2008-1387, CVE-2008-0314, CVE-2008-1833, CVE-2008-1835, CVE-2008-1836, CVE-2008-1837, CVE-2008-2713, CVE-2008-3215

    Erhältlich für Mac OS X Server 10.4.11, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Mehrere Schwachstellen in ClamAV 0.92.1

    Beschreibung: ClamAV 0.92.1 hat mehrere Schwachstellen, von denen die kritischste zu einer unvorhergesehenen Codeausführung führen kann. Mit diesem Update wird das Problem behoben, da damit eine Aktualisierung auf ClamAV 0.93.3 erfolgt. Weitere Informationen erhalten Sie auf der ClamAV-Website unter http://www.clamav.net/.

  • Verzeichnisdienste

    CVE-ID: CVE-2008-2329

    Erhältlich für Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Eine Person mit Zugriff auf den Anmeldebildschirm kann sich Benutzernamen anzeigen lassen.

    Beschreibung: Es besteht ein Problem aufgrund der Offenlegung von Informationen im Anmeldefenster, wenn dieses für die Authentifizierung von Benutzern mit Active Directory konfiguriert ist. Durch Eingabe von Platzhaltern in das Feld für den Benutzernamen kann eine Liste mit Benutzernamen aus Active Directory angezeigt werden. Mit diesem Update wird das Problem behoben, da die Verarbeitung von Benutzernamen in Verzeichnisdiensten verbessert wurde. Wir danken der IT-Abteilung des West Seneca Central School District für die Meldung dieses Problems.

  • Verzeichnisdienste

    CVE-ID: CVE-2008-2330

    Erhältlich für Mac OS X Server 10.4.11, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Ein lokaler Benutzer kann das Serverkennwort erhalten, wenn ein OpenLDAP-Systemadministrator slapconfig ausführt.

    Beschreibung: Im Tool "slapconfig", das für die Konfiguration von OpenLDAP verwendet wird, besteht ein Problem aufgrund eines unsicheren Dateivorgangs. Ein lokaler Benutzer kann das Kennwort, das von einem Systemadministrator eingegeben wurde, der slapconfig ausführt, in eine Datei schreiben lassen, die von ihm gesteuert wird. Mit diesem Update wird das Problem behoben, da nun der Rückgabewert der Funktion "mkfifo" überprüft wird.

  • Finder

    CVE-ID: CVE-2008-2331

    Erhältlich für Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Im Fenster "Informationen" werden nicht die zurzeit gültigen Zugriffsrechte für eine Datei angezeigt.

    Beschreibung: Finder aktualisiert in Fenstern mit dem Namen "Informationen" nicht die angezeigten Zugriffsrechte. Nach Klicken auf die Taste "Schützen" werden die Änderungen am Dateisystem "Sharing & Zugriffsrechte" wirksam. Sie werden jedoch nicht angezeigt. Mit diesem Update wird das Problem behoben, da die angezeigten Zugriffsrechte bei der Änderung der Zugriffsrechte für eine Datei richtig aktualisiert werden. Dieses Problem hat keine Auswirkungen auf Systeme, auf denen eine ältere Version als Mac OS X 10.5 ausgeführt wird. Wir danken Michel Colman für die Meldung dieses Problems.

  • Finder

    CVE-ID: CVE-2008-3613

    Erhältlich für Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Ein Angreifer mit Zugriff auf das lokale Netzwerk kann die Verweigerung eines Dienstes verursachen.

    Beschreibung: Im Finder tritt bei der Suche nach einer Remote-CD/DVD ein Problem aufgrund einer Nullzeigerdereferenzierung auf. Ein Angreifer mit Zugriff auf das lokale Netzwerk kann Finder dazu veranlassen, sofort nach dem Starten wieder zu schließen. Dies führt dazu, dass das System nicht genutzt werden kann. Mit diesem Update wird das Problem behoben, da Nullzeiger nun überprüft werden. Das Problem betrifft folgende Konfigurationen: alle Produkte, auf denen Mac OS X 10.5.2 ausgeführt wird, MacBook Air Geräte, auf denen Mac OS X 10.5.3 ausgeführt wird, und MacBook Air Geräte, auf denen Mac OS X 10.5.4 ausgeführt wird. Wir danken Yuxuan Wang von Sogou für die Meldung dieses Problems.

  • ImageIO

    CVE-ID: CVE-2008-2327

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zu einer unvorhergesehenen Codeausführung führen.

    Beschreibung: Bei der Verarbeitung von LZW-codierten TIFF-Bildern in libTIFF treten Probleme aufgrund eines nicht initialisierten Speicherzugriffs auf. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zu einer unvorhergesehenen Codeausführung führen. Mit diesem Update wird das Problem behoben, da der Speicherzugriff richtig initialisiert wird und eine zusätzliche Validierung von TIFF-Bildern erfolgt.

  • ImageIO

    CVE-ID: CVE-2008-2332

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zu einer unvorhergesehenen Codeausführung führen.

    Beschreibung: Bei der Verarbeitung von TIFF-Bildern in ImageIO tritt ein Problem aufgrund einer Speicherbeschädigung auf. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zu einer unvorhergesehenen Codeausführung führen. Mit diesem Update wird das Problem behoben, da die Verarbeitung von TIFF-Bildern verbessert wurde. Wir danken Robert Swiecki vom Google-Sicherheitsteam für die Meldung dieses Problems.

  • ImageIO

    CVE-ID: CVE-2008-3608

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Das Anzeigen eines in böswilliger Absicht erstellten großen JPEG-Bildes kann zu einem unerwarteten Programmabbruch oder zu einer unvorhergesehenen Codeausführung führen.

    Beschreibung: Bei der Verarbeitung von in JPEG-Bildern eingebetteten ICC-Profilen in ImageIO treten Probleme aufgrund einer Speicherbeschädigung auf. Das Anzeigen eines in böswilliger Absicht erstellten großen JPEG-Bildes kann zu einem unerwarteten Programmabbruch oder zu einer unvorhergesehenen Codeausführung führen. Mit diesem Update wird das Problem behoben, da die Verarbeitung von JPEG-Bildern verbessert wurde.

  • ImageIO

    CVE-ID: CVE-2008-1382

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: libpng in ImageIO wird auf die Version 1.2.29 aktualisiert.

    Beschreibung: libpng in ImageIO wird auf die Version 1.2.29 aktualisiert. CVE-2008-1382 hat keinen Einfluss auf die Verwendung von libpng in ImageIO. Dieses Update wird als Vorsichtsmaßnahme implementiert.

  • Kernel

    CVE-ID: CVE-2008-3609

    Erhältlich für Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Dateien können von lokalen Benutzern aufgerufen werden, die nicht über die entsprechenden Zugriffsrechte verfügen.

    Beschreibung: Zwischengespeicherte Benutzerdaten werden nicht immer gelöscht, wenn ein Vnode wiederverwendet wird. So haben lokale Benutzer die Möglichkeit, eine Datei zu lesen und zu ändern, auch wenn dies aufgrund der Zugriffsrechte eigentlich nicht zulässig ist. Mit diesem Update wird das Problem behoben, da die Verarbeitung von entfernten Vnodes verbessert wurde. Wir danken Nevin ":-)" Liber, Thomas Pelaia vom Oak Ridge National Lab, Thomas Tempelmann und Ram Kolli für die Meldung dieses Problems.

  • libresolv

    CVE-ID: CVE-2008-1447

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: libresolv ist anfällig für eine DNS-Cachebeschädigung und kann falsche Informationen zurückgeben.

    Beschreibung: libresolv übersetzt Hostnamen in IP-Adressen und umgekehrt für Programme, die die API für die Unicast-DNS-Auflösung verwenden. Eine Schwachstelle im DNS-Protokoll ermöglicht es Angreifern, den DNS-Cache zu beschädigen. Infolgedessen erhalten Programme, die sich auf libresolv für DNS berufen, falsche Informationen. Mit diesem Update wird das Problem behoben, da eine Zufallsanordnung von Quellports implementiert wurde, um die Widerstandsfähigkeit gegen Cachebeschädigungen zu verbessern. Beachten Sie, dass die BIND-Tools dig, host und nslookup ihre eigene Auflösungsbibliothek verwenden und von diesem Update nicht betroffen sind. Wir danken Dan Kaminsky von IOActive für die Meldung dieses Problems.

  • Anmeldefenster

    CVE-ID: CVE-2008-3610

    Erhältlich für Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Ein Benutzer kann sich ohne Eingabe eines Kennwortes anmelden.

    Beschreibung: Im Anmeldefenster gibt es eine Race-Bedingung. Um das Problem hervorzurufen, muss im System ein Gast-Account oder ein anderer Account ohne Kennwort aktiviert sein. In wenigen Fällen wird der Anmeldeversuch bei solch einem Account nicht erfolgreich abgeschlossen. In solchen Fällen wird die Benutzerliste noch einmal angezeigt, und die Person kann sich als beliebiger Benutzer anmelden, ohne ein Kennwort einzugeben. Handelt es sich bei dem ursprünglichen Account um den Gast-Account, werden die Inhalte des neuen Accounts beim Abmelden gelöscht. Mit diesem Update wird das Problem behoben, da der Status des Anmeldefensters bei unvollständiger Anmeldung zurückgesetzt wird. Das Problem hat keine Auswirkungen auf Systeme, auf denen eine ältere Version als Mac OS X 10.5 ausgeführt wird.

  • Anmeldefenster

    CVE-ID: CVE-2008-3611

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Symptom: Eine Person mit Zugriff auf den Anmeldebildschirm kann das Kennwort eines Benutzers ändern.

    Beschreibung: Wenn ein System für die Anwendung von Richtlinien für Anmeldekennwörter konfiguriert wurde, werden die Benutzer aufgefordert, ihr Kennwort auf dem Anmeldebildschirm zu ändern. Wenn das Ändern des Kennwortes fehlschlägt, wird eine Fehlermeldung angezeigt. Das aktuelle Kennwort wird jedoch nicht gelöscht. Darüber ist sich der Benutzer unter Umständen nicht im Klaren. Wenn der Benutzer das System mit dieser angezeigten Fehlermeldung unbeaufsichtigt lässt, kann eine Person mit Zugriff auf den Anmeldebildschirm das Kennwort des Benutzers zurücksetzen. Mit diesem Update wird das Problem behoben, da das aktuelle Kennwort beim Zurückkehren zum Anmeldebildschirm gelöscht wird. Systeme, auf denen Mac OS X 10.5 oder eine aktuellere Version ausgeführt wird, sind von diesem Problem nicht betroffen. Wir danken Christopher A. Grande vom Middlesex Community College für die Meldung dieses Problems.

  • mDNSResponder

    CVE-ID: CVE-2008-1447

    Erhältlich für Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: mDNSResponder ist anfällig für eine DNS-Cachebeschädigung und kann falsche Informationen zurückgeben.

    Beschreibung: mDNSResponder übersetzt Hostnamen in IP-Adressen und umgekehrt für Programme, die die API für die Unicast-DNS-Auflösung verwenden. Eine Schwachstelle im DNS-Protokoll ermöglicht es Remote-Angreifern, den DNS-Cache zu beschädigen. Als Folge davon erhalten Programme, die sich auf mDNSResponder für DNS berufen, falsche Informationen. Mit diesem Update wird das Problem behoben, da eine Zufallsanordnung von Quellport und Transaktions-ID implementiert wurde, um die Widerstandsfähigkeit gegen Cachebeschädigungen zu verbessern. Wir danken Dan Kaminsky von IOActive für die Meldung dieses Problems.

  • OpenSSH

    CVE-ID: CVE-2008-1483, CVE-2008-1657

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Es gibt mehrere Schwachstellen in OpenSSH, von denen die kritischste die Steuerung einer lokalen X11-Sitzung betrifft.

    Beschreibung: Es gibt mehrere Schwachstellen in den OpenSSH-Versionen, die zusammen mit Mac OS X 10.4.11 und Mac OS X 10.5.4 geliefert wurden. Die kritischste Schwachstelle ermöglicht es lokalen Benutzern, die X11-Sitzung anderer Benutzer zu steuern. Mit diesem Update wird das Problem behoben, da OpenSSH auf die Version 5.1p1 aktualisiert wird. Weitere Informationen finden Sie auf der OpenSSH-Website unter http://www.openssh.com/security.html.

  • QuickDraw Manager

    CVE-ID: CVE-2008-3614

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Das Öffnen eines in böswilliger Absicht erstellten PICT-Bildes kann zu einem unerwarteten Programmabbruch und zu einer unvorhergesehenen Codeausführung führen.

    Beschreibung: Bei der Verarbeitung von PICT-Bildern in QuickDraw kommt es zu einem Ganzzahlenüberlauf. Das Öffnen eines in böswilliger Absicht erstellten PICT-Bildes kann zu einem unerwarteten Programmabbruch oder zu einer unvorhergesehenen Codeausführung führen. Mit diesem Update wird das Problem behoben, da eine zusätzliche Validierung von PICT-Bildern vorgenommen wird. Wir danken einem anonymen Forscher, der mit iDefense VCP arbeitet, für die Meldung dieses Problems.

  • Ruby

    CVE-ID: CVE-2008-2376

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Das Ausführen eines Ruby-Skripts, das nicht vertrauenswürdige Eingaben als Argumente für die Array#Fill-Methode verwendet, kann zu einem unerwarteten Programmabbruch oder zu einer unvorhergesehenen Codeausführung führen.

    Beschreibung: In der Funktion rb_ary_fill(), die die Ruby-Array#Fill-Methode implementiert, kommt es zu einem Ganzzahlenüberlauf. Das Ausführen eines Ruby-Skripts, das nicht vertrauenswürdige Eingaben als Argumente für die Array#Fill-Methode verwendet, kann zu einem unerwarteten Programmabbruch oder zu einer unvorhergesehenen Codeausführung führen. Mit diesem Update wird das Problem behoben, da eine zusätzliche Validierung der Argumente für rb_ary_fill() vorgenommen wird.

  • SearchKit

    CVE-ID: CVE-2008-3616

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Die Weitergabe von nicht vertrauenswürdigen Eingaben an die SearchKit-API durch Programme kann zu einem unerwarteten Programmabbruch und zu einer unvorhergesehenen Codeausführung führen.

    Beschreibung: Bei den Funktionen im SearchKit-Framework kommt es zu Problemen aufgrund eines Ganzzahlenüberlaufs. Die Weitergabe von nicht vertrauenswürdigen Eingaben an SearchKit durch ein Programm kann zu einem unerwarteten Programmabbruch und zu einer unvorhergesehenen Codeausführung führen. Mit diesem Update wird das Problem behoben, da die Begrenzungsüberprüfung verbessert wurde.

  • Systemkonfiguration

    CVE-ID: CVE-2008-2312

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Symptom: Ein lokaler Benutzer kann das PPP-Kennwort erlangen.

    Beschreibung: Mit der Systemeinstellung "Netzwerk" werden PPP-Kennwörter unverschlüsselt in einer World-Readable-Datei gespeichert, auf die alle lokalen Benutzer zugreifen können. Mit diesem Update wird das Problem behoben, da PPP-Kennwörter nun beim Ändern im Systemschlüsselbund gespeichert werden. Systeme, auf denen Mac OS X 10.5 oder eine aktuellere Version ausgeführt wird, sind von diesem Problem nicht betroffen. Wir danken Hernan Ochoa von Core Security Technologies, Tore Halset von ppv.org und Matt Johnston vom University Computer Club für die Meldung dieses Problems.

  • Systemeinstellungen

    CVE-ID: CVE-2008-3617

    Erhältlich für Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Die Benutzer sind in dem irrtümlichen Glauben, dass ihre Kennwörter sicher sind.

    Beschreibung: Die "Entfernte Verwaltung" und das "Screen-Sharing" können so konfiguriert werden, dass VNC-Benutzer ein Kennwort eingeben müssen. VNC-Benutzerkennwörter dürfen höchstens aus acht Zeichen bestehen. Im Feld für das Kennwort können mehr als acht Zeichen angezeigt werden, das bedeutet, dass zusätzliche Zeichen im Kennwort möglich sind. Mit diesem Update wird das Problem behoben, da die Länge von VNC-Benutzerkennwörtern auf der Benutzeroberfläche auf acht Zeichen beschränkt wurde. Wir danken Michal Fresel von hi competence e.U. für die Meldung dieses Problems.

  • Systemeinstellungen

    CVE-ID: CVE-2008-3618

    Erhältlich für Mac OS X 10.5 bis 10.5.4

    Symptom: Authentifizierte Benutzer können unerwarteten Remote-Zugriff auf Dateien und Verzeichnisse haben.

    Beschreibung: Im Bereich "File Sharing" werden unter der Systemeinstellung "Sharing" nicht alle zurzeit gültigen Zugriffsrechte angezeigt. Ein Benutzer kann daraus schließen, dass nur die Ordner zugänglich sind, die unter "Gemeinsam genutzte Ordner" aufgeführt sind. Authentifizierte Benutzer können jedoch auch auf ihre Benutzerordner zugreifen, und Administratoren können auf alle Festplatten im System zugreifen. Dieses Update bietet zusätzliche Texte, in denen die tatsächlichen Zugriffsrechte erklärt werden. Auf Systemen, auf denen eine ältere Version als Mac OS X 10.5 ausgeführt wird, wird keine Liste der gemeinsam genutzten Ordner im Bereich "File Sharing" angezeigt. Dieses Problem hat keine Auswirkungen auf Systeme, auf denen Mac OS X Server ausgeführt wird.

  • Time Machine

    CVE-ID: CVE-2008-3619

    Erhältlich für Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Das Sichern eines Systems mit Time Machine kann zur Offenlegung vertraulicher Informationen führen.

    Beschreibung: Bei der Time Machine Sicherung werden verschiedene Protokolldateien mit Leserechten, die anderen Benutzern gewährt werden, auf dem Sicherungslaufwerk gespeichert. Dies kann zur Offenlegung vertraulicher Informationen führen. Mit diesem Update wird das Problem behoben, da für gespeicherte Protokolldateien nun restriktivere Zugriffsrechte gelten. Dieses Problem hat keine Auswirkungen auf Systeme, auf denen eine ältere Version als Mac OS X 10.5 ausgeführt wird. Wir danken Edwin McKenzie für die Meldung dieses Problems.

  • VideoConference

    CVE-ID: CVE-2008-3621

    Erhältlich für Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Videokonferenzen mit bösartigen Benutzern können zu einem unerwarteten Programmabbruch und zu einer unvorhergesehenen Codeausführung führen.

    Beschreibung: Bei der Verarbeitung von H.264-codierten Medien im VideoConference Framework treten Probleme aufgrund einer Speicherbeschädigung auf. Videokonferenzen mit bösartigen Benutzern können zu einem unerwarteten Programmabbruch und zu einer unvorhergesehenen Codeausführung führen. Mit diesem Update wird das Problem behoben, da die Begrenzungsüberprüfung verbessert wurde.

  • Wiki-Server

    CVE-ID: CVE-2008-3622

    Erhältlich für Mac OS X 10.5 bis 10.5.4, Mac OS X Server 10.5 bis 10.5.4

    Symptom: Ein Remote-Angreifer kann eine permanente JavaScript-Injection auf einem Wiki-Server auslösen.

    Beschreibung: Das Mailinglistenarchiv des Wiki-Servers führt JavaScript-Code aus, der in Nachrichten eingebettet ist. Eine Remote-Person kann eine E-Mail, die JavaScript-Code enthält, an eine Mailingliste senden, die sich auf einem Wiki-Server befindet. Beim Anzeigen der Nachricht vom Mailinglistenarchiv des Wiki-Servers aus wird die Ausführung des eingebetteten JavaScript-Codes auf dem System der Person ausgelöst, die sich die Nachricht ansieht. Mit diesem Update wird das Problem behoben, da eine zusätzliche Validierung von E-Mails vorgenommen wird. Dieses Problem hat keine Auswirkungen auf Systeme, auf denen eine ältere Version als Mac OS X 10.5 ausgeführt wird. Wir danken Leon von Tippelskirch und Matthias Wieczorek vom Lehrstuhl für Angewandte Softwaretechnik an der TU München für die Meldung dieses Problems.

Zusätzliche Informationen

Wichtiger Hinweis: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden nur zu Informationszwecken bereitgestellt und stellen keine Empfehlung oder Billigung durch Apple dar. Für weitere Informationen zu diesen Produkten wenden Sie sich bitte an den jeweiligen Hersteller.

Zuletzt geändert: 09.11.2011
Hilfreich?
Ja
Nein
Not helpful Somewhat helpful Helpful Very helpful Solved my problem
Diese Seite drucken
  • Zuletzt geändert: 09.11.2011
  • Artikel: HT3137
  • Aufrufe:

    164656
  • Bewertung:
    • 80.0

    (10 Antworten)