Sprachen

Archived - Über den Sicherheitsinhalt von Security Update 2009-003 / Mac OS X 10.5.8

In diesem Dokument wird der Sicherheitsinhalt von Security Update 2009-003 / Mac OS X 10.5.8 beschrieben. Dieses kann über die Funktion Softwareaktualisierung oder von der Website Apple Downloads heruntergeladen und installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "Verwenden des Apple PGP-Schlüssels für die Produktsicherheit",

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Security Updates finden Sie unter "Apple Security Updates".

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Security Update 2009-003 / Mac OS X 10.5.8

  • bzip2

    CVE-ID: CVE-2008-1372

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Das Dekomprimieren von nicht vertrauenswürdigen Daten kann zu einer unerwarteten Programmbeendigung führen.

    Beschreibung: In bzip2 ist ein unzulässiger Speicherzugriff aufgetreten. Das Öffnen einer nicht vertrauenswürdigen komprimierten Datei kann zu einer unerwarteten Programmbeendigung führen. Mit diesem Update erfolgt eine Aktualisierung von bzip2 auf Version 1.0.5, mit der das Problem behoben wird. Weitere Informationen finden Sie auf der bzip2-Website unter http://bzip.org/.

  • CFNetwork

    CVE-ID: CVE-2009-1723

    Verfügbar für: Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Die URL der angezeigten Website kann von einer nicht vertrauenswürdigen Website in einer Zertifikatswarnung kontrolliert werden.

    Beschreibung: Wenn Safari eine Website über eine 302-Weiterleitung öffnet und eine Zertifikatswarnung angezeigt wird, enthält die Warnung nicht die URL der aktuellen Website, sondern die URL der Originalwebsite. Dadurch ist es möglich, dass nicht vertrauenswürdige Websites, die über eine offene Weiterleitung auf einer vertrauenswürdigen Website geöffnet wurden, die URL der angezeigten Website in einer Zertifikatswarnung kontrollieren. Dieses Problem wurde durch Ausgeben der korrekten URL auf der zugrunde liegenden CFNetwork-Ebene behoben. Bei Systemen, die älter sind als Mac OS X 10.5, tritt das Problem nicht auf. Dank an Kevin Day von Your.Org und Jason Mueller von der Indiana University, die dieses Problem gemeldet haben.

  • ColorSync

    CVE-ID: CVE-2009-1726

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Das Anzeigen von nicht vertrauenswürdigen Bildern mit eingebettetem ColorSync-Profil kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Codeausführung führen.

    Beschreibung: Das Verarbeiten von Bildern mit eingebettetem ColorSync-Profil bewirkt einen Heap-Überlauf. Das Öffnen von nicht vertrauenswürdigen Bildern mit eingebettetem ColorSync-Profil kann eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung zur Folge haben. Durch dieses Update erfolgt eine zusätzliche Validierung von ColorSync-Profilen, sodass das Problem nicht mehr auftritt. Dank an Chris Evans vom Google Security Team, der dieses Problem gemeldet hat.

  • CoreTypes

    CVE-ID: CVE-2009-1727

    Verfügbar für: Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Benutzer werden vor dem Öffnen potenziell unsicherer Inhaltstypen nicht gewarnt.

    Beschreibung: Dieses Update erweitert die Systemliste der Inhaltstypen, die unter bestimmten Umständen als potenziell unsicher markiert werden, z. B., wenn sie von einer Webseite heruntergeladen werden. Diese Inhaltstypen werden zwar nicht automatisch gestartet, ein manuelles Öffnen kann jedoch zur Ausführung eines in böser Absicht erstellten JavaScript-Payloads führen. Dieses Update verbessert die Benutzerinformation vor der Verarbeitung von Inhaltstypen, die von Safari verwendet werden. Dank an Brian Mastenbrook und Clint Ruoho von Laconic Security, die dieses Problem gemeldet haben.

  • Dock

    CVE-ID: CVE-2009-0151

    Verfügbar für: Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Eine Person mit physischem Zugriff auf ein gesperrtes System kann Vier-Finger- Gesten (Multi-Touch) verwenden.

    Beschreibung: Der Bildschirmschoner lässt den Zugriff per Vier-Finger-Gesten (Multi-Touch) zu, wodurch Personen mit physischem Zugriff auf ein gesperrtes System in der Lage sind, Programme zu verwalten oder Exposé zu verwenden. Durch dieses Update werden Multi-Touch-Gesten bei Ausführung des Bildschirmschoners vollständig gesperrt, sodass das Problem nicht mehr auftritt. Das Problem betrifft nur Multi-Touch-Trackpads.

  • Bild RAW

    CVE-ID: CVE-2009-1728

    Verfügbar für: Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Das Anzeigen von nicht vertrauenswürdigen Canon RAW-Bildern kann eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung zur Folge haben.

    Beschreibung: Bei der Verarbeitung von Canon RAW-Bildern tritt ein Stapelpufferüberlauf auf. Das Anzeigen von nicht vertrauenswürdigen Canon RAW-Bildern kann eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung zur Folge haben. Mit diesem Update erfolgt eine verbesserte Abgrenzungsüberprüfung, sodass das Problem nicht mehr auftritt. Bei Mac OS X 10.4-Systemen besteht das Problem aufgrund des Digital Camera RAW Compatibility Update 2.6 nicht mehr. Dank an Chris Ries von den Computing Services der Carnegie Mellon University, der dieses Problem gemeldet hat.

  • ImageIO

    CVE-ID: CVE-2009-1722

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Das Anzeigen von nicht vertrauenswürdigen Open EXR-Bildern kann eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung zur Folge haben.

    Beschreibung: Die Verarbeitung von Open EXR-Bildern in ImageIO kann zu einem Stapelpufferüberlauf führen. Das Anzeigen von nicht vertrauenswürdigen Open EXR-Bildern kann eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung zur Folge haben. Bei diesem Update erfolgt eine Aktualisierung von OpenEXR auf Version 1.6.1, wodurch das Problem behoben wird. Dank an Lurene Grenier von Sourcefire VRT und an Chris Ries von den Computing Services der Carnegie Mellon University, die dieses Problem gemeldet haben.

  • ImageIO

    CVE-ID: CVE-2009-1721

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Das Anzeigen von nicht vertrauenswürdigen Open EXR-Bildern kann eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung zur Folge haben.

    Beschreibung: Bei der Verarbeitung von OpenEXR-Bildern in ImageIO treten Probleme aufgrund eines nicht initialisierten Speicherzugriffs auf. Das Anzeigen von nicht vertrauenswürdigen Open EXR-Bildern kann eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung zur Folge haben. Dieses Update bewirkt, dass der Speicherzugriff ordnungsgemäß initialisiert und Open EXR-Bilder zusätzlich validiert werden. Damit wird das Problem behoben. Dank an Apple.

  • ImageIO

    CVE-ID: CVE-2009-1720

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Das Anzeigen von nicht vertrauenswürdigen Open EXR-Bildern kann eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung zur Folge haben.

    Beschreibung: Die Verarbeitung von Open EXR-Bildern in ImageIO führt an mehreren Stellen zu einem Ganzzahlüberlauf. Das Anzeigen von nicht vertrauenswürdigen Open EXR-Bildern kann eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung zur Folge haben. Mit diesem Update werden die Probleme durch verbesserte Abgrenzungsüberprüfungen behoben. Dank an Apple.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Verfügbar für: Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Das Anzeigen eines in böser Absicht erstellten Bildes kann zu einer unerwarteten Programmbeendigung oder zur Ausführung eines willkürlichen Codes führen.

    Beschreibung: Beim Verarbeiten von EXIF-Metadaten in ImageIO tritt ein Pufferüberlauf auf. Das Anzeigen eines in böser Absicht erstellten Bildes kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Mit diesem Update erfolgt eine verbesserte Abgrenzungsüberprüfung, sodass das Problem nicht mehr auftritt. Das Problem hat keine Auswirkungen auf Systeme, die älter sind als Mac OS X 10.5.

  • ImageIO

    CVE-ID: CVE-2009-0040

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Das Verarbeiten eines in böswilliger Absicht erstellten PNG-Bildes kann zu einem unerwarteten Programmabbruch oder zu willkürlicher Codeausführung führen.

    Beschreibung: Die Verarbeitung von PNG-Dateien kann zu nicht initialisierten Zeigern führen. Das Verarbeiten eines in böswilliger Absicht erstellten PNG-Bildes kann zu einem unerwarteten Programmabbruch oder zu willkürlicher Codeausführung führen. Mit diesem Update erfolgt eine zusätzliche Validierung von PNG-Bildern, sodass das Problem nicht mehr auftritt. Dank an Tavis Ormandy vom Google Security Team, der dieses Problem gemeldet hat.

  • Kernel

    CVE-ID: CVE-2009-1235

    Verfügbar für: Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Lokale Benutzer können Systemzugriffsrechte erhalten.

    Beschreibung: Bei der Verarbeitung von fcntl-Systemaufrufen durch den Kernel tritt ein Implementierungsproblem auf. Lokale Benutzer können den Kernelspeicher überschreiben und eine willkürliche Codeausführung bewirken. Mit diesem Update erfolgt eine verbesserte Verarbeitung von fcntl-Systemaufrufen, wodurch das Problem behoben wird. Dank an Razvan Musaloiu-E. von der Johns Hopkins University, HiNRG, der dieses Problem gemeldet hat.

  • launchd

    CVE-ID: CVE-2009-2190

    Verfügbar für: Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Das Öffnen vieler Verbindungen zu einem inetd-basierten launchd-Dienst kann einen Denial of Service-Angriff auslösen.

    Beschreibung: Wenn viele Verbindungen zu einem inetd-basierten launchd-Dienst geöffnet werden, verweigert launchd bis zum nächsten Systemneustart u. U. das Bedienen von eingehenden Verbindungen für diesen Dienst. Mit diesem Update erfolgt eine verbesserte Fehlerbehandlung, wodurch das Problem behoben wird.

  • Anmeldefenster

    CVE-ID: CVE-2009-2191

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Ein Problem mit einem Format-String im Anmeldefenster kann eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung zur Folge haben.

    Beschreibung: Ein Problem mit einem Format-String bei der Verarbeitung von Programmnamen im Anmeldefenster kann eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung zur Folge haben. Mit diesem Update wird das Problem durch eine verbesserte Verarbeitung von Dateinamen behoben. Dank an Alfredo Pesoli von 0xcafebabe.it, der dieses Problem gemeldet hat.

  • MobileMe

    CVE-ID: CVE-2009-2192

    Verfügbar für: Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Bei der Abmeldung von MobileMe werden nicht alle Anmeldedaten entfernt.

    Beschreibung: In der MobileMe-Systemeinstellung ist ein logischer Fehler aufgetreten. Bei der Abmeldung von MobileMe werden nicht alle Anmeldedaten entfernt. Personen mit Zugriff auf den lokalen Benutzer-Account können weiterhin auf alle anderen Systeme zugreifen, die mit dem MobileMe-Account verbunden sind, der zuvor für diesen lokalen Account angemeldet war. Mit diesem Update werden alle Anmeldedaten bei der Abmeldung gelöscht, sodass das Problem nicht mehr auftritt.

  • Netzwerkbetrieb

    CVE-ID: CVE-2009-2193

    Verfügbar für: Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Der Empfang von nicht vertrauenswürdigen AppleTalk-Antwortpaketen kann eine willkürliche Codeausführung oder das unerwartete Ausschalten des Systems bewirken.

    Beschreibung: Bei der Verarbeitung von AppleTalk-Antwortpaketen durch den Kernel tritt ein Pufferüberlauf auf. Der Empfang von nicht vertrauenswürdigen AppleTalk-Antwortpaketen kann eine willkürliche Codeausführung mit Systemzugriffsrechten oder das unerwartete Ausschalten des Systems bewirken. Das vorliegende Update löst dieses Problem durch eine verbesserte Validierung von AppleTalk-Antwortpaketen. Dank an Ilja van Sprundel von IOActive, der dieses Problem gemeldet hat.

  • Netzwerkbetrieb

    CVE-ID: CVE-2009-2194

    Verfügbar für: Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Ein lokaler Benutzer kann ein unerwartetes Herunterfahren des Systems verursachen.

    Beschreibung: Bei der Freigabe der Dateibeschreibung für lokale Sockets ist ein Synchronisierungsproblem aufgetreten. Durch das Senden von Nachrichten, die Dateibeschreibungen enthalten, an einen Socket ohne Empfänger kann ein lokaler Benutzer das unerwartete Herunterfahren des Systems verursachen. Dieses Update verbessert die Verarbeitung der Freigabe von Dateibeschreibungen, wodurch das Problem behoben wird. Dank an Bennet Yee von Google Inc., der dieses Problem gemeldet hat.

  • XQuery

    CVE-ID: CVE-2008-0674

    Verfügbar für: Mac OS X 10.5 bis 10.5.7, Mac OS X Server 10.5 bis 10.5.7

    Symptom: Die Verarbeitung von nicht vertrauenswürdigen XML-Inhalten kann eine willkürliche Codeausführung bewirken.

    Beschreibung: Bei der Verarbeitung von Zeichenklassen in regulären Ausdrücken in der von XQery verwendeten PCRE-Bibliothek (Perl Compatible Regular Expressions) kommt es zu einem Pufferüberlauf. Dadurch kann ein entfernter Angreifer mithilfe eines regulären Ausdrucks, der eine Zeichenklasse mit einer großen Anzahl von Zeichen mit Unicode-Codepunkten von über 255 enthält, willkürlichen Code ausführen. In diesem Update wird das Problem durch Aktualisierung von PCRE auf Version 7.6 behoben.

Wichtig: Der Hinweis auf Websites und Produkte Dritter dient ausschließlich informativen Zwecken und ist weder als Billigung noch als Empfehlung zu verstehen Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Websites Dritter angeboten werden. Apple stellt seinen Kunden diese Informationen nur als Serviceleistung zur Verfügung. Apple hat die Informationen, die auf diesen Sites angeboten werden, nicht geprüft und macht keine Angaben in Bezug auf deren Korrektheit und Zuverlässigkeit. Die Verwendung aller Informationen und Produkte, die im Internet angeboten werden, unterliegt bestimmten Risiken; Apple übernimmt diesbezüglich keine Verantwortung. Bitte haben Sie Verständnis dafür, dass Websites Dritter von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Websites hat. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert: 17.05.2012
Hilfreich?
Ja
Nein
  • Last Modified: 17.05.2012
  • Article: HT3757
  • Views:

    215

Zusätzliche Supportinformationen zum Produkt