Sprachen

Archived - Informationen über das Security Update 2010-001

In diesem Dokument wird das Security Update 2010-001 beschrieben, das über die Option Softwareaktualisierung in den Systemeinstellungen oder über Apple Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "Verwenden des Apple PGP-Schlüssels für die Produktsicherheit",

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Security Updates finden Sie unter "Apple Security Updates".

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Security Update 2010-001

  • CoreAudio

    CVE-ID: CVE-2010-0036

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2

    Symptom: Das Wiedergeben einer in böser Absicht erstellten mp4-Audiodatei kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen.

    Beschreibung: Die Verarbeitung von mp4-Audiodateien kann zu einem Pufferüberlauf führen. Das Wiedergeben einer in böser Absicht erstellten mp4-Audiodatei kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Wir danken Tobias Klein von trapkit.de für die Meldung dieses Problems.

  • CUPS

    CVE-ID: CVE-2009-3553

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2

    Symptom: Ein entfernter Angreifer kann die unerwartete Beendigung von cupsd einleiten.

    Beschreibung: In cupsd liegt eine use-after-free-Schwachstelle vor. Durch Ausgeben einer in böser Absicht erstellten get-printer-jobs-Anfrage kann ein entfernter Angreifer einen Denial-of-Service-Angriff verursachen. Da cupsd nach seiner Beendigung automatisch neu gestartet wird, halten sich die Folgen eines solchen Angriffs jedoch in Grenzen. Dieses Problem wurde durch eine verbesserte Verbindungsverfolgung behoben.

  • Flash Player Plug-In

    CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2

    Symptom: Mehrere Schwachstellen im Adobe Flash Player Plug-In.

    Beschreibung: Im Adobe Flash Player Plug-In sind mehrere Schwachstellen vorhanden. Die bedenklichste Schwachstelle kann zur Ausführung willkürlichen Codes führen, wenn eine in böswilliger Absicht erstellte Website angezeigt wird. Diese Probleme lassen sich durch Aktualisieren des Flash Player-Plug-In auf Version 10.0.42 beheben. Weitere Informationen finden Sie auf der Adobe-Website unter http://www.adobe.com/support/security/bulletins/apsb09-19.html Wir danken einem anonymen Hinweisgeber sowie Damian Put von der TippingPoints Zero Day Initiative, Bing Liu aus dem Fortinet's FortiGuard Global Security Research Team, Will Dormann von CERT, Manuel Caballero und Microsoft Vulnerability Research (MSVR).

  • ImageIO

    CVE-ID: CVE-2009-2285

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Symptom: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder der Ausführung beliebigen Codes führen.

    Beschreibung: Die Verarbeitung von TIFF-Bildern in ImageIO kann zu einem Pufferunterlauf führen. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder der Ausführung beliebigen Codes führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Für Mac OS X 10.6-Systeme wurde das Problem unter Mac OS X 10.6.2 gelöst.

  • Bild RAW

    CVE-ID: CVE-2010-0037

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2

    Symptom: Das Anzeigen von in böser Absicht erstellten DNG-Bildern kann eine unerwartete Programmbeendigung oder die Ausführung beliebigen Codes zur Folge haben.

    Beschreibung: Die Verarbeitung von DNG-Bildern durch Image RAW kann zu einem Pufferüberlauf führen. Das Anzeigen von in böswilliger Absicht erstellten DNG-Bildern kann eine unerwartete Programmbeendigung oder die Ausführung beliebigen Codes zur Folge haben. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Wir danken Jason Carr von Carnegie Mellon University Computing Services für die Meldung dieses Problems.

  • OpenSSL

    CVE-ID: CVE-2009-3555

    Verfügbar für: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2

    Symptom: Ein Angreifer mit höheren Netzwerkrechten kann in durch SSL geschützten Sitzungen Daten stehlen oder Abläufe ändern.

    Beschreibung: In den SSL- und TLS-Protokollen liegt eine Man-In-The-Middle-Schwachstelle vor. Weitere Informationen finden Sie auf http://www.phonefactor.com/sslgap. Innerhalb der IETF wird derzeit an einer geänderten Version des Neuverhandlungsprotokolls gearbeitet. Dieses Update deaktiviert als Vorsichtsmaßnahme die Neuverhandlung in OpenSSL. Das Problem betrifft keine Dienste, die Secure Transport verwenden. Neuverhandlungen werden zudem nicht unterstützt. Wir danken Steve Dispensa und Marsh Ray von PhoneFactor, Inc. für die Meldung des Problems.

Wichtig: Der Hinweis auf Websites und Produkte Dritter dient ausschließlich informativen Zwecken und ist weder als Billigung noch als Empfehlung zu verstehen Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Websites Dritter angeboten werden. Apple stellt seinen Kunden diese Informationen nur als Serviceleistung zur Verfügung. Apple hat die Informationen, die auf diesen Sites angeboten werden, nicht geprüft und macht keine Angaben in Bezug auf deren Korrektheit und Zuverlässigkeit. Die Verwendung aller Informationen und Produkte, die im Internet angeboten werden, unterliegt bestimmten Risiken; Apple übernimmt diesbezüglich keine Verantwortung. Bitte haben Sie Verständnis dafür, dass Websites Dritter von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Websites hat. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert: 26.01.2014
Hilfreich?
Ja
Nein
  • Last Modified: 26.01.2014
  • Article: HT4004
  • Views:

    417
  • Rating:
    • 100.0

    (1 Antworten)

Zusätzliche Supportinformationen zum Produkt