Informationen zum Sicherheitsupdate 2009-005
Dieses Dokument beschreibt das Sicherheitsupdate 2009-005.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.
Sicherheitsupdate 2009-005
Alias Manager
CVE-ID: CVE-2009-2800
Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten Alias-Datei kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt einen Pufferüberlauf bei der Verarbeitung von Alias-Dateien. Das Öffnen einer in böswilliger Absicht erstellten Alias-Datei kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Mac OS X v10.6-Systeme sind nicht von diesem Problem betroffen. Quelle: Apple.
CarbonCore
CVE-ID: CVE-2009-2803
Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Auswirkung: Das Öffnen einer Datei mit einem in böswilliger Absicht erstellten Resource-Fork kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Bei der Behandlung von Resource-Forks durch den Ressourcenmanager gibt es ein Problem mit der Speicherbeschädigung. Das Öffnen einer Datei mit einem in böswilliger Absicht erstellten Resource-Fork kann zu einer unerwarteten Beendigung der Anwendung oder der Ausführung von beliebigem Code führen. Dieses Update behebt das Problem durch eine verbesserte Validierung von Resource-Forks. Mac OS X v10.6-Systeme sind nicht von diesem Problem betroffen. Quelle: Apple.
ClamAV
CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372
Verfügbar für: Mac OS X Server v10.5.8
Auswirkung: Mehrere Schwachstellen in ClamAV 0.94.2
Beschreibung: Es gibt mehrere Schwachstellen in ClamAV 0.94.2, von denen die schwerwiegendste zur Ausführung von beliebigem Code führen kann. Dieses Update behebt die Probleme, indem ClamAV auf Version 0.95.2 aktualisiert wird. ClamAV wird nur mit Mac OS X Server-Systemen vertrieben. Weiter Informationen finden sich auf der ClamAV-Website unter http://www.clamav.net/ Diese Probleme betreffen nicht Mac OS X v10.6-Systeme.
ColorSync
CVE-ID: CVE-2009-2804
Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Auswirkung: Das Betrachten eines in böswilliger Absicht erstellten Bildes mit einem eingebetteten ColorSync-Profil kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Bei der Verarbeitung von Bildern mit eingebettetem ColorSync-Profil gibt es einen Integer-Überlauf, der zu einem Heap-Pufferüberlauf führen kann. Das Öffnen eines in böswilliger Absicht erstellten Bildes mit einem eingebetteten ColorSync-Profil kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen. Dieses Update behebt das Problem, indem für ColorSync-Profile eine zusätzliche Überprüfung durchgeführt wird. Mac OS X v10.6-Systeme sind nicht von diesem Problem betroffen. Quelle: Apple.
CoreGraphics
CVE-ID: CVE-2009-2805
Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung von beliebigem Code führen.
Beschreibung: Ein Integer-Überlauf in CoreGraphics' Handhabung von PDF-Dateien kann zu einem Heap-Pufferüberlauf führen. Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei mit JBIG2-Stream kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Danke an Will Dormann von CERT/CC für die Meldung dieses Problems. Mac OS X v10.6-Systeme sind nicht von diesem Problem betroffen.
CoreGraphics
CVE-ID: CVE-2009-2468
Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt einen Heap-Pufferüberlauf beim Erstellen von langen Textstrings. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Mac OS X v10.6-Systeme sind nicht von diesem Problem betroffen. Wir danken Will Drewry von Google Inc. für die Meldung dieses Problems.
CUPS
CVE-ID: CVE-2009-0949
Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Auswirkung: Ein entfernter Angreifer kann möglicherweise den Zugriff auf den Druckerfreigabedienst verweigern
Beschreibung: In CUPS existiert eine Null-Zeiger-Dereferenz. Durch wiederholtes Senden in böswilliger Absicht erstellter Scheduler-Anfragen kann ein Angreifer den Zugriff auf den Druckerfreigabedienst verweigern. Dieses Update behebt das Problem durch eine verbesserte Überprüfung von Scheduler-Anfragen. Mac OS X v10.6-Systeme sind nicht von diesem Problem betroffen. Wir danken Anibal Sacco vom CORE IMPACT Exploit Writing Team (EWT) von Core Security Technologies für die Meldung dieses Problems.
CUPS
CVE-ID: CVE-2009-2807
Verfügbar für: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Auswirkung: Ein unprivilegierter lokaler Benutzer kann möglicherweise Systemprivilegien erlangen
Beschreibung: Es gibt einen Heap-Pufferüberlauf im CUPS USB-Backend. Dies kann es einem lokalen Benutzer ermöglichen, Systemprivilegien zu erlangen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Dieses Problem betrifft keine Systeme vor Mac OS X v10.5 oder Mac OS X v10.6.
Flash Player plug-in
CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Auswirkung: Mehrere Schwachstellen im Adobe Flash Player-Plug-in
Beschreibung: Im Adobe Flash Player-Plug-in gibt es mehrere Schwachstellen, von denen die schwerwiegendste zur Ausführung von beliebigem Code führen kann, wenn eine in böswilliger Absicht erstellte Website angezeigt wird. Die Probleme werden durch die Aktualisierung des Flash Player-Plug-ins auf Mac OS 10.5.8-Systemen auf Version 10.0.32.18 und auf Mac OS X 10.4.11-Systemen auf Version 9.0.246.0 behoben. Für Mac OS X v10.6-Systeme wurden diese Probleme in Mac OS X v10.6.1 behoben. Weitere Informationen finden sich auf der Adobe-Website unter http://www.adobe.com/support/security/bulletins/apsb09-10.html
ImageIO
CVE-ID: CVE-2009-2809
Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten PixarFilm-kodierten TIFF-Bildes kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Bei der Verarbeitung von PixarFilm-kodierten TIFF-Bildern durch ImageIO gibt es mehrere Probleme mit Speicherfehlern. Das Anzeigen eines in böswilliger Absicht erstellten PixarFilm-kodierten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine zusätzliche Überprüfung von PixarFilm-kodierten TIFF-Bildern. Mac OS X v10.6-Systeme sind nicht von diesem Problem betroffen. Quelle: Apple.
Launch Services
CVE-ID: CVE-2009-2811
Verfügbar für: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Auswirkung: Der Versuch, unsichere heruntergeladene Inhalte zu öffnen, führt möglicherweise nicht zu einer Warnung
Beschreibung: Mit diesem Update wird „.fileloc“ zur Systemliste der Inhaltstypen hinzugefügt, die unter bestimmten Umständen als potenziell unsicher gekennzeichnet werden, z. B. wenn sie aus einer E-Mail heruntergeladen werden. Diese Inhaltstypen werden zwar nicht automatisch geöffnet, könnten aber, wenn sie manuell geöffnet werden, zur Ausführung einer schädlichen Payload führen. Dieses Update verbessert die Fähigkeit des Systems, Benutzer vor der Verarbeitung von „.fileloc“-Dateien zu benachrichtigen. Mac OS X v10.6-Systeme sind nicht von diesem Problem betroffen. Quelle: Apple.
Launch Services
CVE-ID: CVE-2009-2812
Verfügbar für: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Auswirkung: Der Besuch eine in böswilliger Absicht erstellten Website kann zur Ausführung von beliebigem Code führen
Beschreibung: Wenn eine Anwendung heruntergeladen wird, analysiert Launch Services die exportierten Dokumenttypen. Ein Design-Problem bei der Handhabung der exportierten Dokumenttypen kann dazu führen, dass Launch Services eine sichere Dateierweiterung mit einem unsicheren Uniform Type Identifier (UTI) verknüpft. Der Besuch eine in böswilliger Absicht erstellten Website kann dazu führen, dass automatisch ein unsicherer Dateityp geöffnet wird. Dieses Update behebt das Problem durch eine verbesserte Handhabung von exportierten Dokumenttypen aus nicht vertrauenswürdigen Anwendungen. Dieses Problem betrifft keine Systeme vor Mac OS X v10.5 oder Mac OS X v10.6. Quelle: Apple.
MySQL
CVE-ID: CVE-2008-2079
Verfügbar für: Mac OS X Server v10.5.8
Auswirkung: MySQL wird auf Version 5.0.82 aktualisiert.
Beschreibung: MySQL wurde auf Version 5.0.82 aktualisiert, um ein Implementierungsproblem zu beheben, das es einem lokalen Benutzer ermöglicht, erweiterte Rechte zu erlangen. Nur Mac OS X Server-Systeme sind von diesem Problem betroffen. Mac OS X v10.6-Systeme sind nicht von diesem Problem betroffen. Weitere Informationen finden sich auf der MySQL-Website unter http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html
PHP
CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498
Verfügbar für: Mac OS X v10.5, Mac OS X Server v10.5.8
Auswirkung: Mehrere Schwachstellen in PHP 5.2.5
Beschreibung: PHP wurde auf Version 5.2.10 aktualisiert, um mehrere Schwachstellen zu schließen, von denen die schwerwiegendste zur Ausführung von willkürlichem Code führen kann. Weitere Informationen finden sich auf der PHP-Website unter http://www.php.net/ Diese Probleme betreffen nicht Mac OS X v10.6-Systeme.
SMB
CVE-ID: CVE-2009-2813
Verfügbar für: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Auswirkung: Die Aktivierung der Windows-Dateifreigabe kann zu einer unerwarteten Freigabe von Ordnern führen
Beschreibung: In Samba liegt ein ungeprüfter Fehlerzustand vor. Ein Benutzer, der kein konfiguriertes Home-Verzeichnis hat und eine Verbindung zum Windows-Dateifreigabedienst herstellt, kann auf den Inhalt des Dateisystems zugreifen, abhängig von den lokalen Dateisystemberechtigungen. Dieses Update behebt das Problem, indem es die Handhabung von Fehlern bei der Pfadauflösung verbessert. Dieses Problem betrifft keine Systeme vor Mac OS X v10.5 oder Mac OS X v10.6. Wir danken J. David Hester vom LCG Systems National Institutes of Health für die Meldung dieses Problems.
Wiki Server
CVE-ID: CVE-2009-2814
Verfügbar für: Mac OS X Server v10.5.8
Auswirkung: Ein entfernter Angreifer kann Zugriff auf Wiki Server-Benutzerkonten erhalten
Beschreibung: Ein Cross-Site-Scripting-Problem besteht in der Verarbeitung von Suchanfragen mit nicht UTF-8-kodierten Daten durch den Wiki-Server. Dies kann einem entfernten Angreifer den Zugriff auf einen Wiki-Server mit den Anmeldeinformationen des Wiki-Server-Benutzers, der die Suche durchführt, ermöglichen. Dieses Update behebt das Problem, indem UTF-8 als Standardzeichensatz in HTTP-Antworten festgelegt wird. Dieses Problem betrifft keine Systeme vor Mac OS X v10.5 oder Mac OS X v10.6. Quelle: Apple.
Wichtig: Der Hinweis auf Websites und Produkte von Drittanbietern erfolgt ausschließlich zu Informationszwecken und stellt weder eine Billigung noch eine Empfehlung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Informationen und Produkten auf Websites von Drittanbietern. Apple stellt diese Informationen seinen Kunden lediglich als Serviceleistung zur Verfügung. Apple hat die auf diesen Websites gefundenen Informationen nicht geprüft und übernimmt keine Gewähr für ihre Genauigkeit oder Zuverlässigkeit. Die Verwendung von Informationen oder Produkten im Internet birgt Risiken, und Apple übernimmt diesbezüglich keine Verantwortung. Wir bitten um Verständnis, dass Websites von Drittanbietern von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Website hat. Weitere Informationen sind beim Anbieter erhältlich.