Sprachen

Archiviert - Informationen über das Security Update 2008-007

In diesem Dokument wird das Security Update 2008-007 beschrieben, das über die Option Softwareaktualisierung in den Systemeinstellungen oder über Apple Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "How to use the Apple Product Security PGP Key (Verwenden des Apple PGP-Schlüssels für die Produktsicherheit)."

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE IDs verwendet.

Informationen zu weiteren Security Updates finden Sie unter "Apple Security Updates."

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Security Update 2008-007

  • Apache

    CVE-ID: CVE-2007-6420, CVE-2008-1678, CVE-2008-2364

    Verfügbar für: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Symptom: Mehrere Schwachstellen in Apache 2.2.8

    Beschreibung: Apache wird auf Version 2.2.9 aktualisiert, um mehrere Schwachstellen zu beheben, die ggf. zu Cross-Site Request Forgery führen können. Apache Version 2 ist auf Mac OS X Client Systemen bei älteren Versionen als 10.5 nicht enthalten. Apache Version 2 ist auf Mac OS X Server v10.4.x Systemen vorhanden, jedoch nicht standardmäßig aktiviert. Weitere Informationen finden Sie auf der Apache-Website unter http://httpd.apache.org/

  • Zertifikate

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    Symptom: Root-Zertifikate wurden aktualisiert

    Beschreibung: Mehrere vertrauenswürdige Zertifikate wurden der Liste der System-Roots hinzugefügt. Mehrere bereits vorhandene Zertifikate wurden auf die neueste Version aktualisiert. Die vollständige Liste der erkannten System-Roots kann über das Programm "Schlüsselbundverwaltung" angezeigt werden.

  • ClamAV

    CVE-ID: -1389, CVE-2008-, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

    Verfügbar für: Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    Symptom: Mehrere Schwachstellen in ClamAV 0.93.3

    Beschreibung: ClamAV 0.93.3 hat mehrere Schwachstellen, von denen die schwerwiegendste zu einer unvorhergesehenen Codeausführung führen kann. Mit diesem Update wird das Problem behoben, da damit eine Aktualisierung auf ClamAV 0.94 erfolgt. ClamAV ist auf Mac OS X Client Systemen nicht vorhanden. Weitere Informationen erhalten Sie auf der ClamAV Website unter http://www.clamav.net/

  • ColorSync

    CVE-ID: CVE-2008-3642

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    Auswirkung: Das Anzeigen eines in böser Absicht erstellten Bildes kann zu einer unerwarteten Programmbeendigung oder zur Ausführung eines willkürlichen Codes führen.

    Beschreibung: Beim Umgang mit Bildern mit einem eingebetteten ICC-Profil kommt es zu einem Pufferüberlauf. Das Öffnen eines in böser Absicht erstellten Bildes mit eingebettetem ICC-Profil kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Mit diesem Update wird das Problem durch die zusätzliche Validierung von ICC-Profilen in Bildern behoben. Dank an: Apple

  • CUPS

    CVE-ID: CVE-2008-3641

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    Symptom: Ein Remote-Angreifer kann mit den Zugriffsrechten des 'lp'-Benutzers die Ausführung eines willkürlichen Codes verursachen.

    Beschreibung: Im Filter für die Hewlett-Packard Graphics Language (HPGL) kommt es zu einem Fehler in der Bereichsprüfung, der dazu führen kann, dass willkürlicher Speicher mit gesteuerten Daten überschrieben wird. Ist "Printer-Sharing" aktiviert, kann ein Remote-Angreifer mit den Zugriffsrechten des 'lp'-Benutzers die Ausführung eines willkürlichen Codes verursachen. Wenn "Printer-Sharing" nicht aktiviert ist, könnte ein lokaler Benutzer erhöhte Zugriffsrechte erlangen. Mit dieser Aktualisierung wird das Problem durch die Ausführung zusätzlicher Abgrenzungsüberprüfungen behoben. Wir danken der Tippingpoint Zero Day Initiative für die Meldung dieses Problems.

  • Finder

    CVE-ID: CVE-2008-3643

    Verfügbar für: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Symptom: Eine Datei auf dem Schreibtisch kann zu Denial-of-Service führen

    Beschreibung: Im Finder kommt es zu einem Fehler bei der Wiederherstellung. Eine in böser Absicht erstellte Datei auf dem Desktop führt dazu, dass Finder beim Erzeugen des Symbols unerwartet beendet wird und anschließend dauerhaft beendet und neu gestartet wird. Solange die Datei nicht entfernt wird, kann auf das Benutzerkonto über die Finder Benutzeroberfläche nicht zugegriffen werden. Mit dieser Aktualisierung wird das Problem durch das Erstellen von Symbolen in einem separaten Prozess behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter sind als Mac OS X 10.5. Wir danken Sergio 'shadown' Alvarez von n.runs AG für die Meldung dieses Problems.

  • launchd

    Verfügbar für: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Symptom: Programme können möglicherweise keine Sandbox eingeben, wenn diese dazu aufgefordert werden.

    Beschreibung: Dieses Update widmet sich einem Problem, das seit Mac OS X v10.5.5 besteht. Ein Implementierungsproblem in launchd kann dazu führen, dass die Anforderung eines Programms zur Eingabe einer Sandbox fehlschlägt. Das Problem hat keine Auswirkung auf Programme, die die dokumentierte sandbox_init API verwenden. Mit diesem Update wird das Problem durch Bereitstellung einer aktualisierten Version von launchd behoben. Das Problem hat keine Auswirkungen auf Systeme, auf denen eine ältere Version als Mac OS X 10.5.5 ausgeführt wird.

  • libxslt

    CVE-ID: CVE-2008-1767

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    Symptom: Die Verarbeitung·von XML-Dokumenten kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen

    Beschreibung: In der libxslt-Bibliothek kommt es zu einem Heap-Pufferüberlauf. Das Anzeigen einer in böser Absicht erstellten HTML-Seite·kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Ausführung von Code führen. Weitere Informationen zum angewendeten Patch finden Sie unter http://xmlsoft.org/XSLT/. Wir danken Anthony de Almeida Lopes von Outpost24 AB und Chris Evans vom Google Security-Team für die Meldung dieses Problems.

  • MySQL Server

    CVE-ID: CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

    Verfügbar für: Mac OS X Server v10.5.5

    Symptom: Mehrere Schwachstellen in MySQL 5.0.45

    Beschreibung: MySQL wird auf Version 5.0.67 aktualisiert, um mehrere Schwachstellen zu beseitigen, von denen die schwerwiegendsten zur Ausführung willkürlichen Codes führen können. Diese Probleme betreffen ausschließlich Mac OS X Server Systeme. Weitere Informationen erhalten Sie auf der MySQL-Website unter http://dev.mysql.com/doc/refman/5.0/en/releasenotes-cs-5-0-67.html

  • Netzwerkbetrieb

    CVE-ID: CVE-2008-3645

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    Symptom: Lokale Benutzer könnten Systemprivilegien erhalten

    Beschreibung: In der lokalen IPC-Komponente des EAPOLController-Plugins in configd kommt es zu einem Heap-Pufferüberlauf, was dazu führen kann, dass ein lokaler Benutzer Systemprivilegien erhält. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dank an: Apple

  • PHP

    CVE-ID: CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    Symptom: Mehrere Schwachstellen in PHP 4.4.8

    Beschreibung: PHP wird auf Version 4.4.9 aktualisiert, um mehrere Schwachstellen zu beseitigen, von denen die schwerwiegendsten zur Ausführung willkürlichen Codes führen können. Weitere Informationen erhalten Sie auf der PHP-Website unter http://www.php.net/ Dieses System betrifft nur Systeme, auf denen Mac OS X v10.4.x, Mac OS X Server v10.4.x oder Mac OS X Server v10.5.x ausgeführt wird.

  • Postfix

    CVE-ID: CVE-2008-3646

    Verfügbar für: Mac OS X v10.5.5

    Symptom: Ein Remote-Angreifer kann E-Mails direkt an lokale Benutzer senden

    Beschreibung: In den Postfix-Konfigurationsdateien kommt es zu einem Problem. Nachdem ein lokales Befehlszeilen-Tool E-Mails versendet hat, kann für einen Zeitraum von einer Minute über das Netzwerk auf postfix zugegriffen werden. In diesem Zeitraum kann eine Remote-Einheit, die eine Verbindung zum SMTP-Port herstellt, E-Mails an lokale Benutzer senden und das SMTP-Protokoll anderweitig verwenden. Durch dieses Problem wird das System nicht zu einer offenen E-Mail-Weiterleitung. Um dieses Problem zu beheben, wird die Postfix Konfiguration so verändert, dass SMTP-Verbindungen von Remote-Computern verhindert werden. Das Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind, und auf Mac OS X Server. Wir danken Pelle Johansson für die Meldung dieses Problems.

  • PSNormalizer

    CVE-ID: CVE-2008-3647

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    Symptom: Das Anzeigen einer in böser Absicht erstellten PostScript-Datei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Bearbeitung des Bounding Box-Kommentars in PostScript-Dateien durch PSNormalizer kommt es zu einem Pufferüberlauf. Das Anzeigen einer in böser Absicht erstellten PostScript-Datei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. In diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung der PostScript-Dateien behoben. Dank an: Apple

  • QuickLook

    CVE-ID: CVE-2008-4211

    Verfügbar für: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Symptom: Das Laden oder Anzeigen einer in böser Absicht erstellten Microsoft Excel-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Bearbeitung von Spalten in Microsoft Excel-Dateien durch QuickLook kommt es zu einem signedness-Problem, das zu einem unzulässigen Speicherzugriff führen kann. Das Laden oder Anzeigen einer in böser Absicht erstellten Microsoft Excel-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen. In diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung der Microsoft Excel-Dateien behoben. Das Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Dank an: Apple.

  • rlogin

    CVE-ID: CVE-2008-4212

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    Symptom: Systeme, die manuell zur Verwendung von rlogin und host.equin konfiguriert wurden, können unerwartet einen Root-Login zulassen

    Beschreibung: Die Manpage für die Konfigurationsdatei hosts.equiv zeigt an, dass Einträge nicht für den Root angewendet werden. Ein Implementierungsproblem in rlogind führt jedoch dazu, dass diese Einträge auch für den Root angewendet werden. Mit diesem Update wird das Problem durch ein Verbot von rlogin im Root-Benutzer, wenn sich das Remote-System in hosts.equiv befindet, behoben. Der Dienst rlogin ist in Mac OS X nicht standardmäßig aktiviert. Die Konfiguration muss zur Aktivierung manuell erfolgen. Wir danken Ralf Meyer für die Meldung dieses Problems.

  • Skripteditor

    CVE-ID: CVE-2008-4214

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    Symptom: Lokale Benutzer können Systemprivilegien anderer Benutzer erhalten, die den Skripteditor verwenden

    Beschreibung: Im Programm "Skripteditor" kommt es beim Öffnen von Programmskriptlexika zu einem unsicheren Dateivorgang. Ein lokaler Benutzer kann dafür sorgen, dass das Skriptlexikon unter einem beliebigen Pfad geschrieben wird, auf den der Benutzer, der das Programm ausführt, zugreifen kann. Mit dieser Aktualisierung wird das Problem durch das Anlegen der temporären Datei an einem sicheren Speicherort behoben. Dank an: Apple

  • Einmalige Anmeldung

    Verfügbar für: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Symptom: Der Befehl sso_util akzeptiert jetzt Kennwörter aus einer Datei

    Beschreibung: Der Befehl sso_util akzeptiert jetzt Kennwärter aus einer in der Umgebungsvariablen SSO_PASSWD_PATH benannten Datei. Auf diese Weise können automatisierte Skripte sso_util sicherer verwenden.

  • Tomcat

    CVE-ID: CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461

    Verfügbar für: Mac OS X Server v10.5.5

    Symptom: Mehrere Schwachstellen in Tomcat 6.0.14

    Beschreibung: Tomcat auf Mac OS X v10.5 Systemen wird auf Version 6.0.18 aktualisiert, um mehrere Schwachstellen zu beseitigen, von denen die schwerwiegendste zu Site-übergreifendem Scripting führen kann. Diese Probleme betreffen ausschließlich Mac OS X Server Systeme. Weitere Informationen finden Sie auf der Tomcat Website unter http://tomcat.apache.org/.

  • vim

    CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

    Verfügbar für: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Symptom: Mehrere Schwachstellen in vim 7.0

    Beschreibung: In vim 7.0 gibt es mehrere Schwachstellen, von denen die schwerwiegendste zur Ausführung willkürlichen Codes beim Arbeiten mit in böser Absicht erstellten Dateien führen kann. Mit diesem Update wird das Problem behoben, da damit eine Aktualisierung auf vim 7.2.0.22 erfolgt. Weitere Informationen erhalten Sie auf der vim-Website unter http://www.vim.org/

  • Weblog

    CVE-ID: CVE-2008-4215

    Verfügbar für: Mac OS X Server 10.4.11

    Symptom: Zugriffskontrolle auf Weblog-Beiträge wird möglicherweise nicht erzwungen

    Beschreibung: Auf dem Weblog-Server ist eine deaktivierte Fehlerbedingung vorhanden. Das Hinzufügen eines Benutzers mit mehreren Kurznamen zur Zugriffssteuerungsliste für einen Weblog-Eintrag kann dazu führen, dass der Weblog-Server die Zugriffskontrolle nicht erzwingt. Um dieses Problem zu beheben, wird die Art und Weise verbessert, wie Zugriffssteuerungslisten gespeichert werden. Dieses Problem betrifft nur Systeme, auf denen Mac OS X Server v10.4 ausgeführt wird. Dank an: Apple.

Wichtig: Der Hinweis auf Websites und Produkte Dritter dient ausschließlich informativen Zwecken und ist weder als Billigung noch als Empfehlung zu verstehen Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Websites Dritter angeboten werden. Apple stellt seinen Kunden diese Informationen nur als Serviceleistung zur Verfügung. Apple hat die Informationen, die auf diesen Sites angeboten werden, nicht geprüft und macht keine Angaben in Bezug auf deren Korrektheit und Zuverlässigkeit. Die Verwendung aller Informationen und Produkte, die im Internet angeboten werden, unterliegt bestimmten Risiken; Apple übernimmt diesbezüglich keine Verantwortung. Bitte haben Sie Verständnis dafür, dass Websites Dritter von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Websites hat. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert: 13.03.2012
Hilfreich?
Ja
Nein
Not helpful Somewhat helpful Helpful Very helpful Solved my problem
Diese Seite drucken
  • Zuletzt geändert: 13.03.2012
  • Artikel: HT3216
  • Aufrufe:

    149908
  • Bewertung:
    • 76.0

    (34 Antworten)