Sprachen

Informationen zum Sicherheitsinhalt von OS X Mountain Lion 10.8.5 und Sicherheitsupdate 2013-004

Dieses Dokument beschreibt den Sicherheitsinhalt von OS X Mountain Lion 10.8.5 und dem Sicherheitsupdate 2013-004.

Diese können über die Softwareaktualisierung in den Systemeinstellungen oder unter Apple-Downloads geladen und installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates

OS X Mountain Lion 10.8.5 und Sicherheitsupdate 2013-004

  • Apache

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5 , Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Symptom: Mehrere Schwachstellen in Apache

    Beschreibung: In Apache existierten mehrere Schwachstellen, die im schlimmsten Fall zu Cross-Site-Scripting führen können. Diese Probleme wurden durch die Aktualisierung auf Version 2.2.24 behoben.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Verfügbar für: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.2 bis 10.8.4

    Auswirkung: Mehrere Schwachstellen in BIND

    Beschreibung: In BIND waren mehrere Schwachstellen vorhanden, die im schlimmsten Fall zu einem Denial-of-Service führen können. Diese Probleme wurden durch Aktualisieren von BIND auf Version 9.8.5-P1 behoben. CVE-2012-5688 betraf Mac OS X 10.7-Systeme nicht.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Richtlinie für vertrauenswürdige Zertifikate

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Root-Zertifikate wurden aktualisiert.

    Beschreibung: Bestimmte Zertifikate wurden zur Liste der System-Roots hinzugefügt oder daraus entfernt. Die vollständige Liste der erkannten System-Roots kann über das Programm "Schlüsselbundverwaltung" angezeigt werden.

  • ClamAV

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5

    Auswirkung: Mehrere Schwachstellen in ClamAV

    Beschreibung: ClamAV hat mehrere Schwachstellen, von denen die schwerwiegendste zu einer unvorhergesehenen Codeausführung führen kann. Mit dieser Aktualisierung werden die Probleme durch die Aktualisierung von ClamAV auf Version 0.97.8 behoben.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von JBIG2-codierten Daten existierte ein Pufferüberlauf. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1025: Felix Groebert vom Google-Sicherheitsteam

  • ImageIO

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von JPEG2000-codierten Daten in PDF-Dateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1026: Felix Groebert vom Google-Sicherheitsteam

  • Installationsprogramm

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Pakete konnten nach dem Sperren von Zertifikaten geöffnet werden

    Beschreibung: Wenn das Installationsprogramm ein gesperrtes Zertifikat antraf, zeigte es einen Dialog mit der Möglichkeit zum Fortfahren an. Dieses Problem wurde durch das Entfernen des Dialogs und die Ablehnung aller gesperrten Pakete behoben.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Ein Angreifer ist möglicherweise in der Lage, durch IPSec Hybrid Auth geschützte Daten abzufangen.

    Beschreibung: Der DNS-Name eines IPSec Hybrid Auth-Server wurde nicht auf das Zertifikat abgestimmt, sodass ein Angreifer mit einem Zertifikat für einen Server die Identität eines anderen vortäuschen konnte. Das Problem wurde durch das sorgfältige Überprüfen des Zertifikats behoben.

    CVE-ID

    CVE-2013-1028: Alexander Traud von www.traud.de

  • Kernel

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Ein lokaler Netzwerkbenutzer kann einen Denial-of-Service auslösen.

    Beschreibung: Eine inkorrekte Überprüfung im Parsing Code des IGMP-Pakets im Kernel erlaubte es einem Benutzer, der IGMP-Pakete an das System senden konnte, eine Kernel Panic zu verursachen. Das Problem wurde durch Entfernen der Überprüfung behoben.

    CVE-ID

    CVE-2013-1029: Christopher Bohn von PROTECTSTAR INC.

  • Mobile Device Management

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Kennwörter werden ggf. anderen lokalen Benutzern offengelegt.

    Beschreibung: Ein Kennwort wurde über die Befehlszeile an mdmclient übertragen, wodurch dieses für anderen Benutzer im selben System sichtbar wurde. Das Problem wurde durch die Übermittlung des Kennworts über eine Pipe behoben.

    CVE-ID

    CVE-2013-1030: Per Olofsson von der Universität Göteborg

  • OpenSSL

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Mehrere Schwachstellen in OpenSSL

    Beschreibung: In OpenSSL sind mehrere Schwachstellen vorhanden, die im schlimmsten Fall zur Offenlegung von Benutzerdaten führen können. Diese Probleme wurden durch das Update von OpenSSL auf Version 0.9.8y behoben.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Symptom: Mehrere Schwachstellen in PHP

    Beschreibung: In PHP existierten mehrere Schwachstellen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen können. Diese Probleme wurden durch die Aktualisierung von PHP auf Version 5.3.26 behoben.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Mehrere Schwachstellen in PostgreSQL

    Beschreibung: In PostgreSQL sind mehrere Schwachstellen vorhanden, die im schlimmsten Fall zu Datenkorruption oder Eskalation von Zugriffsrechten führen können. CVE-2013-1901 betrifft keine Mac OS X Lion-Systeme. Dieses Update behebt diese Probleme durch eine Aktualisierung von PostgreSQL auf Version 9.1.9 auf OS X Mountain Lion-Systemen und Version 9.0.4 auf Mac OS X Lion-Systemen.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Energieverwaltung

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Der Bildschirmschoner startet nach der festgelegten Zeit ggf. nicht.

    Beschreibung: Es bestand ein Problem mit einer Stromzusicherungssperre. Dieses Problem wurde durch eine verbesserte Verarbeitung der Sperre behoben.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von QuickTime-Filmdateien gab es einen Speicherfehler bei der Verarbeitung von 'idsc'-Atomen. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1032: Jason Kratzer in Zusammenarbeit mit iDefense VCP

  • Bildschirmsperre

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Ein Benutzer mit Bildschirmfreigabe kann die Bildschirmsperre umgehen, wenn ein anderer Benutzer angemeldet ist.

    Beschreibung: Es existierte ein Sitzungsverwaltungsproblem beim Umgang der Bildschirmsperre mit Bildschirmfreigabe-Sitzungen. Das Problem wurde durch ein verbessertes Sitzungs-Tracking behoben.

    CVE-ID

    CVE-2013-1033: Jeff Grisso von Atos IT Solutions, Sébastien Stormacq

  • sudo

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Ein Angreifer mit Kontrolle über den Account eines Administratorbenutzers kann Root-Privilegien erlangen, ohne das Kennwort des Benutzers zu kennen.

    Beschreibung: Durch Einstellen der Systemuhr kann ein Angreifer sudo verwenden, um Root-Privilegien auf Systemen zu erlangen, auf denen sudo zuvor genutzt wurde. Auf Mac OS X können nur Administratorbenutzer die Systemuhr ändern. Dieses Problem wurde durch die Überprüfung nach einem ungültigen Zeitstempel behoben.

    CVE-ID

    CVE-2013-1775

 

  • Hinweis: OS X Mountain Lion 10.8.5 behebt zudem ein Problem, bei dem bestimmte Unicode-Strings zum unerwarteten Beenden von Programmen führen.

 

Wichtig: Der Hinweis auf Websites und Produkte Dritter dient ausschließlich informativen Zwecken und ist weder als Billigung noch als Empfehlung zu verstehen Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Websites Dritter angeboten werden. Apple stellt seinen Kunden diese Informationen nur als Serviceleistung zur Verfügung. Apple hat die Informationen, die auf diesen Sites angeboten werden, nicht geprüft und macht keine Angaben in Bezug auf deren Korrektheit und Zuverlässigkeit. Die Verwendung aller Informationen und Produkte, die im Internet angeboten werden, unterliegt bestimmten Risiken; Apple übernimmt diesbezüglich keine Verantwortung. Bitte haben Sie Verständnis dafür, dass Websites Dritter von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Websites hat. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert: 20.09.2013
Hilfreich?
Ja
Nein
  • Last Modified: 20.09.2013
  • Article: HT5880
  • Views:

    1291
  • Rating:
    • 20.0

    (1 Antworten)

Zusätzliche Supportinformationen zum Produkt