Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit".
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates".
Diese Aktualisierung kann über die Option "Softwareaktualisierung" oder von der Apple-Supportwebsite geladen und installiert werden.
OS X Mavericks 10.9.2 und Sicherheitsupdate 2014-001
- 

- 

Apache

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Mehrere Schwachstellen in Apache

Beschreibung: In Apache existierten mehrere Schwachstellen, die im schlimmsten Fall zu Cross-Site-Scripting führen können. Diese Probleme wurden durch die Aktualisierung auf Version 2.2.26 behoben.

CVE-ID

CVE-2013-1862

CVE-2013-1896

 

- 

- 

Sandbox-App

Verfügbar für: OS X Mountain Lion 10.8.5

Auswirkung: Die Sandbox-App wird womöglich umgangen

Beschreibung: Die Schnittstelle "LaunchServices" zum Starten eines Programms ermöglichte in der Sandbox ausgeführten Apps, die Liste mit Argumenten zu bestimmen, die an den neuen Prozess weitergegeben werden. Ein kompromittiertes in der Sandbox ausgeführtes Programm konnte dies missbrauchen, um die Sandbox zu umgehen. Dieses Problem wurde dadurch behoben, dass in der Sandbox ausgeführte Programme keine Argumente mehr angeben können. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.

CVE-ID

CVE-2013-5179: Friedrich Graeter von The Soulmen GbR

 

- 

- 

ATS

Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Das Anzeigen oder Laden eines Dokuments, das in böser Absicht erstellte eingebettete Schriften enthält, kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Type 1-Schriften kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-ID

CVE-2014-1254: Felix Groebert vom Google-Sicherheitsteam

 

- 

- 

ATS

Verfügbar für: OS X Mavericks 10.9 und 10.9.1

Auswirkung: Die Sandbox-App wird womöglich umgangen

Beschreibung: Bei der Verarbeitung von Mach-Nachrichten an ATS existierte ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-ID

CVE-2014-1262: Meder Kydyraliev vom Google-Sicherheitsteam

 

- 

- 

ATS

Verfügbar für: OS X Mavericks 10.9 und 10.9.1

Auswirkung: Die Sandbox-App wird womöglich umgangen

Beschreibung: Bei der Verarbeitung von Mach-Nachrichten an ATS existierte ein willkürliches Free-Problem. Dieses Problem wurde durch eine zusätzliche Validierung von Mach-Nachrichten behoben.

CVE-ID

CVE-2014-1255: Meder Kydyraliev vom Google-Sicherheitsteam

 

- 

- 

ATS

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Die Sandbox-App wird womöglich umgangen

Beschreibung: Bei der Verarbeitung von Mach-Nachrichten an ATS existierte ein Pufferüberlauf. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

CVE-ID

CVE-2014-1256: Meder Kydyraliev vom Google-Sicherheitsteam

 

- 

- 

Richtlinie für vertrauenswürdige Zertifikate

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Root-Zertifikate wurden aktualisiert

Beschreibung: Der Satz System-Root-Zertifikate wurde aktualisiert. Die vollständige Liste der erkannten System-Roots kann über das Programm "Schlüsselbundverwaltung" angezeigt werden.

 

- 

- 

CFNetwork-Cookies

Verfügbar für: OS X Mountain Lion 10.8.5

Auswirkung: Cookies aus Sitzungen werden auch nach dem Zurücksetzen von Safari beibehalten

Beschreibung: Durch Zurücksetzen von Safari wurden die Sitzungs-Cookies nicht immer gelöscht, bis Safari geschlossen wurde. Dieses Problem wurde durch eine verbesserte Verarbeitung der Sitzungs-Cookies behoben. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.

CVE-ID

CVE-2014-1257: Rob Ansaldo vom Amherst College, Graham Bennett

 

- 

- 

CoreAnimation

Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Bildern in CoreAnimation existierte ein Stapelpufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-ID

CVE-2014-1258: Karl Smith von der NCC Group

 

- 

- 

CoreText

Verfügbar für: OS X Mavericks 10.9 und 10.9.1

Auswirkung: Programme, die CoreText verwenden, können anfällig für die Ausführung willkürlichen Codes oder einen unerwarteten Programmabbruch sein

Beschreibung: Bei der Verarbeitung von Unicode-Schriftarten trat in CoreText ein Problem mit der Vorzeichenbehaftung auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-ID

CVE-2014-1261: Lucas Apa und Carlos Mario Penagos von IOActive Labs

 

- 

- 

curl

Verfügbar für: OS X Mavericks 10.9 und 10.9.1

Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann Berechtigungsnachweise eines Benutzers oder andere vertrauliche Daten abfangen

Beschreibung: Bei Verwendung von curl für eine Verbindung mit einer HTTPS-URL, die eine IP-Adresse enthält, wurde die IP-Adresse nicht anhand des Zertifikats geprüft. Dieses Problem wirkt sich nicht auf Systeme vor OS X Mavericks 10.9 aus.

CVE-ID

CVE-2014-1263: Roland Moriz von der Moriz GmbH

 

- 

- 

Datensicherheit

Verfügbar für: OS X Mavericks 10.9 und 10.9.1

Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann in durch SSL/TLS geschützten Sitzungen Daten stehlen oder ändern

Beschreibung: Secure Transport konnte die Authentizität der Verbindung nicht prüfen. Dieses Problem wurde durch die Wiederherstellung fehlender Validierungsschritte behoben.

CVE-ID

CVE-2014-1266

 

- 

- 

Datum und Uhrzeit

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Ein unberechtigter Benutzer kann die Systemuhr ändern

Beschreibung: Diese Aktualisierung ändert das Verhalten des folgenden Befehls:
systemsetup
Für das Ändern der Systemuhr sind nun Administratorrechte erforderlich.
CVE-ID

CVE-2014-1265

 

- 

- 

Dateilesezeichen

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Das Öffnen einer Datei mit einem in böser Absicht erstellten Namen kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Dateinamen kam es zu einem Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-ID

CVE-2014-1259

 

- 

- 

Finder

Verfügbar für: OS X Mavericks 10.9 und 10.9.1

Auswirkung: Das Aufrufen der Zugriffssteuerungsliste einer Datei über den Finder kann dazu führen, dass andere Benutzer unerlaubten Zugang zu Dateien erhalten

Beschreibung: Das Aufrufen der Zugriffssteuerungsliste einer Datei über den Finder kann die Zugriffssteuerungslisten der Datei beschädigen. Dieses Problem wurde durch eine verbesserte Verarbeitung der Zugriffssteuerungslisten behoben.

CVE-ID

CVE-2014-1264

 

- 

- 

ImageIO

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Die Anzeige einer in böser Absicht erstellten JPEG-Datei kann zur Offenlegung von Speicherinhalten führen

Beschreibung: Bei der Verarbeitung von JPEG-Markern in libjpeg gab es ein Problem mit einem nicht initialisierten Speicherzugriff, das zur Offenlegung von Speicherinhalten führte. Dieses Problem wurde durch eine bessere JPEG-Verarbeitung behoben.

CVE-ID

CVE-2013-6629: Michal Zalewski

 

- 

- 

IOSerialFamily

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

Auswirkung: Das Ausführen eines schadhaften Programms kann im Kernel zur Ausführung willkürlichen Codes führen

Beschreibung: Im IOSSerialFamily-Treiber gab es einen grenzüberschreitenden Array-Zugriff. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.

CVE-ID

CVE-2013-5139: @dent1zt

 

- 

- 

LaunchServices

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

Auswirkung: Bei einer Datei konnte die falsche Endung angezeigt werden

Beschreibung: Bei der Verarbeitung bestimmter Unicode-Zeichen, durch die Dateinamen falsche Endungen haben konnten, gab es ein Problem. Das Problem wurde durch das Herausfiltern unsicherer Unicode-Zeichen aus der Anzeige in Dateinamen behoben. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.

CVE-ID

CVE-2013-5178: Jesse Ruderman von der Mozilla Corporation, Stephane Sudre von Intego

 

- 

- 

NVIDIA-Treiber

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Das Ausführen eines schadhaften Programms konnte in der Grafikkarte zur Ausführung willkürlichen Codes führen

Beschreibung: Es gab ein Problem, das Schreibvorgänge in vertrauenswürdigem Speicher auf der Grafikkarte zuließ. Das Problem wurde gelöst, indem der Host daran gehindert wird, in diesen Speicher zu schreiben.

CVE-ID

CVE-2013-5986: Marcin Kościelnicki vom Projekt X.Org Foundation Nouveau

CVE-2013-5987: Marcin Kościelnicki vom Projekt X.Org Foundation Nouveau

 

- 

- 

PHP

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Mehrere Schwachstellen in PHP

Beschreibung: In PHP existierten mehrere Schwachstellen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen konnten. Diese Probleme wurden durch eine Aktualisierung von PHP auf Version 5.4.24 unter OS X Mavericks 10.9 und Version 5.3.28 unter Mac OS X Lion und OS X Mountain Lion behoben.

CVE-ID

CVE-2013-4073

CVE-2013-4113

CVE-2013-4248

CVE-2013-6420

 

- 

- 

Übersicht

Verfügbar für: OS X Mountain Lion 10.8.5

Auswirkung: Das Laden einer in böser Absicht erstellten Microsoft Office-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Microsoft Office-Dateien in Übersicht kann es zu einem Speicherfehler kommen. Das Laden einer in böser Absicht erstellten Microsoft Office-Datei konnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.

CVE-ID

CVE-2014-1260: Felix Groebert vom Google-Sicherheitsteam

 

- 

- 

Übersicht

Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Das Laden eines in böser Absicht erstellten Microsoft Word-Dokuments kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Microsoft Word-Dokumenten in Übersicht kam es zu einem Double-Free-Problem. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-ID

CVE-2014-1252: Felix Groebert vom Google-Sicherheitsteam

 

- 

- 

QuickTime

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von "ftab"-Atomen existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-ID

CVE-2014-1246: Anonymer Mitarbeiter der Zero Day Initiative von HP

 

- 

- 

QuickTime

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von "dref"-Atomen existierte ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-ID

CVE-2014-1247: Tom Gallagher und Paul Bates in Zusammenarbeit mit der Zero Day Initiative von HP

 

- 

- 

QuickTime

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von "ldat"-Atomen existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-ID

CVE-2014-1248: Jason Kratzer in Zusammenarbeit mit iDefense VCP

 

- 

- 

QuickTime

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Das Anzeigen eines in böser Absicht erstellten PSD-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von PSD-Bildern existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-ID

CVE-2014-1249: dragonltx vom Tencent-Sicherheitsteam

 

- 

- 

QuickTime

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von "ttfo"-Elementen gab es ein grenzüberschreitendes Byte-Austauschproblem. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-ID

CVE-2014-1250: Jason Kratzer in Zusammenarbeit mit iDefense VCP

 

- 

- 

QuickTime

Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von "stsz"-Atomen trat ein Problem mit der Vorzeichenbehaftung auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-ID

CVE-2014-1245: Tom Gallagher und Paul Bates in Zusammenarbeit mit der Zero Day Initiative von HP

 

- 

- 

Secure Transport

Verfügbar für: OS X Mountain Lion 10.8.5

Auswirkung: Ein Angreifer kann möglicherweise durch SSL geschützte Daten entschlüsseln

Beschreibung: Es gab bekannte Angriffe auf die Vertraulichkeit von SSL 3.0 und TLS 1.0, wenn eine Cipher Suite einen Block-Cipher im CBC-Modus verwendete. Um diese Probleme für Anwendungen zu beheben, die Secure Transport verwenden, wurde die 1-Byte-Fragmentbegrenzung für diese Konfiguration standardmäßig aktiviert.

 
CVE-ID

CVE-2011-3389: Juliano Rizzo und Thai Duong