Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit".
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates".
Diese Aktualisierung kann über die Option "Softwareaktualisierung" oder von der Apple-Supportwebsite geladen und installiert werden.
OS X Mavericks 10.9.2 und Sicherheitsupdate 2014-001
-
Apache
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Mehrere Schwachstellen in Apache
Beschreibung: In Apache existierten mehrere Schwachstellen, die im schlimmsten Fall zu Cross-Site-Scripting führen können. Diese Probleme wurden durch die Aktualisierung auf Version 2.2.26 behoben.
CVE-ID
CVE-2013-1862
CVE-2013-1896
-
Sandbox-App
Verfügbar für: OS X Mountain Lion 10.8.5
Auswirkung: Die Sandbox-App wird womöglich umgangen
Beschreibung: Die Schnittstelle "LaunchServices" zum Starten eines Programms ermöglichte in der Sandbox ausgeführten Apps, die Liste mit Argumenten zu bestimmen, die an den neuen Prozess weitergegeben werden. Ein kompromittiertes in der Sandbox ausgeführtes Programm konnte dies missbrauchen, um die Sandbox zu umgehen. Dieses Problem wurde dadurch behoben, dass in der Sandbox ausgeführte Programme keine Argumente mehr angeben können. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.
CVE-ID
CVE-2013-5179: Friedrich Graeter von The Soulmen GbR
-
ATS
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Das Anzeigen oder Laden eines Dokuments, das in böser Absicht erstellte eingebettete Schriften enthält, kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Type 1-Schriften kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1254: Felix Groebert vom Google-Sicherheitsteam
-
ATS
Verfügbar für: OS X Mavericks 10.9 und 10.9.1
Auswirkung: Die Sandbox-App wird womöglich umgangen
Beschreibung: Bei der Verarbeitung von Mach-Nachrichten an ATS existierte ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1262: Meder Kydyraliev vom Google-Sicherheitsteam
-
ATS
Verfügbar für: OS X Mavericks 10.9 und 10.9.1
Auswirkung: Die Sandbox-App wird womöglich umgangen
Beschreibung: Bei der Verarbeitung von Mach-Nachrichten an ATS existierte ein willkürliches Free-Problem. Dieses Problem wurde durch eine zusätzliche Validierung von Mach-Nachrichten behoben.
CVE-ID
CVE-2014-1255: Meder Kydyraliev vom Google-Sicherheitsteam
-
ATS
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Die Sandbox-App wird womöglich umgangen
Beschreibung: Bei der Verarbeitung von Mach-Nachrichten an ATS existierte ein Pufferüberlauf. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1256: Meder Kydyraliev vom Google-Sicherheitsteam
-
Richtlinie für vertrauenswürdige Zertifikate
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Root-Zertifikate wurden aktualisiert
Beschreibung: Der Satz System-Root-Zertifikate wurde aktualisiert. Die vollständige Liste der erkannten System-Roots kann über das Programm "Schlüsselbundverwaltung" angezeigt werden.
-
CFNetwork-Cookies
Verfügbar für: OS X Mountain Lion 10.8.5
Auswirkung: Cookies aus Sitzungen werden auch nach dem Zurücksetzen von Safari beibehalten
Beschreibung: Durch Zurücksetzen von Safari wurden die Sitzungs-Cookies nicht immer gelöscht, bis Safari geschlossen wurde. Dieses Problem wurde durch eine verbesserte Verarbeitung der Sitzungs-Cookies behoben. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.
CVE-ID
CVE-2014-1257: Rob Ansaldo vom Amherst College, Graham Bennett
-
CoreAnimation
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Bildern in CoreAnimation existierte ein Stapelpufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1258: Karl Smith von der NCC Group
-
CoreText
Verfügbar für: OS X Mavericks 10.9 und 10.9.1
Auswirkung: Programme, die CoreText verwenden, können anfällig für die Ausführung willkürlichen Codes oder einen unerwarteten Programmabbruch sein
Beschreibung: Bei der Verarbeitung von Unicode-Schriftarten trat in CoreText ein Problem mit der Vorzeichenbehaftung auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1261: Lucas Apa und Carlos Mario Penagos von IOActive Labs
-
curl
Verfügbar für: OS X Mavericks 10.9 und 10.9.1
Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann Berechtigungsnachweise eines Benutzers oder andere vertrauliche Daten abfangen
Beschreibung: Bei Verwendung von curl für eine Verbindung mit einer HTTPS-URL, die eine IP-Adresse enthält, wurde die IP-Adresse nicht anhand des Zertifikats geprüft. Dieses Problem wirkt sich nicht auf Systeme vor OS X Mavericks 10.9 aus.
CVE-ID
CVE-2014-1263: Roland Moriz von der Moriz GmbH
-
Datensicherheit
Verfügbar für: OS X Mavericks 10.9 und 10.9.1
Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann in durch SSL/TLS geschützten Sitzungen Daten stehlen oder ändern
Beschreibung: Secure Transport konnte die Authentizität der Verbindung nicht prüfen. Dieses Problem wurde durch die Wiederherstellung fehlender Validierungsschritte behoben.
CVE-ID
CVE-2014-1266
-
Datum und Uhrzeit
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Ein unberechtigter Benutzer kann die Systemuhr ändern
Beschreibung: Diese Aktualisierung ändert das Verhalten des folgenden Befehls:
systemsetup
Für das Ändern der Systemuhr sind nun Administratorrechte erforderlich.CVE-ID
CVE-2014-1265
-
Dateilesezeichen
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Das Öffnen einer Datei mit einem in böser Absicht erstellten Namen kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Dateinamen kam es zu einem Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1259
-
Finder
Verfügbar für: OS X Mavericks 10.9 und 10.9.1
Auswirkung: Das Aufrufen der Zugriffssteuerungsliste einer Datei über den Finder kann dazu führen, dass andere Benutzer unerlaubten Zugang zu Dateien erhalten
Beschreibung: Das Aufrufen der Zugriffssteuerungsliste einer Datei über den Finder kann die Zugriffssteuerungslisten der Datei beschädigen. Dieses Problem wurde durch eine verbesserte Verarbeitung der Zugriffssteuerungslisten behoben.
CVE-ID
CVE-2014-1264
-
ImageIO
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Die Anzeige einer in böser Absicht erstellten JPEG-Datei kann zur Offenlegung von Speicherinhalten führen
Beschreibung: Bei der Verarbeitung von JPEG-Markern in libjpeg gab es ein Problem mit einem nicht initialisierten Speicherzugriff, das zur Offenlegung von Speicherinhalten führte. Dieses Problem wurde durch eine bessere JPEG-Verarbeitung behoben.
CVE-ID
CVE-2013-6629: Michal Zalewski
-
IOSerialFamily
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5
Auswirkung: Das Ausführen eines schadhaften Programms kann im Kernel zur Ausführung willkürlichen Codes führen
Beschreibung: Im IOSSerialFamily-Treiber gab es einen grenzüberschreitenden Array-Zugriff. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.
CVE-ID
CVE-2013-5139: @dent1zt
-
LaunchServices
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5
Auswirkung: Bei einer Datei konnte die falsche Endung angezeigt werden
Beschreibung: Bei der Verarbeitung bestimmter Unicode-Zeichen, durch die Dateinamen falsche Endungen haben konnten, gab es ein Problem. Das Problem wurde durch das Herausfiltern unsicherer Unicode-Zeichen aus der Anzeige in Dateinamen behoben. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.
CVE-ID
CVE-2013-5178: Jesse Ruderman von der Mozilla Corporation, Stephane Sudre von Intego
-
NVIDIA-Treiber
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Das Ausführen eines schadhaften Programms konnte in der Grafikkarte zur Ausführung willkürlichen Codes führen
Beschreibung: Es gab ein Problem, das Schreibvorgänge in vertrauenswürdigem Speicher auf der Grafikkarte zuließ. Das Problem wurde gelöst, indem der Host daran gehindert wird, in diesen Speicher zu schreiben.
CVE-ID
CVE-2013-5986: Marcin Kościelnicki vom Projekt X.Org Foundation Nouveau
CVE-2013-5987: Marcin Kościelnicki vom Projekt X.Org Foundation Nouveau
-
PHP
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Mehrere Schwachstellen in PHP
Beschreibung: In PHP existierten mehrere Schwachstellen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen konnten. Diese Probleme wurden durch eine Aktualisierung von PHP auf Version 5.4.24 unter OS X Mavericks 10.9 und Version 5.3.28 unter Mac OS X Lion und OS X Mountain Lion behoben.
CVE-ID
CVE-2013-4073
CVE-2013-4113
CVE-2013-4248
CVE-2013-6420
-
Übersicht
Verfügbar für: OS X Mountain Lion 10.8.5
Auswirkung: Das Laden einer in böser Absicht erstellten Microsoft Office-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Microsoft Office-Dateien in Übersicht kann es zu einem Speicherfehler kommen. Das Laden einer in böser Absicht erstellten Microsoft Office-Datei konnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.
CVE-ID
CVE-2014-1260: Felix Groebert vom Google-Sicherheitsteam
-
Übersicht
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Das Laden eines in böser Absicht erstellten Microsoft Word-Dokuments kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Microsoft Word-Dokumenten in Übersicht kam es zu einem Double-Free-Problem. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2014-1252: Felix Groebert vom Google-Sicherheitsteam
-
QuickTime
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von "ftab"-Atomen existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1246: Anonymer Mitarbeiter der Zero Day Initiative von HP
-
QuickTime
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von "dref"-Atomen existierte ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1247: Tom Gallagher und Paul Bates in Zusammenarbeit mit der Zero Day Initiative von HP
-
QuickTime
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von "ldat"-Atomen existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1248: Jason Kratzer in Zusammenarbeit mit iDefense VCP
-
QuickTime
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Das Anzeigen eines in böser Absicht erstellten PSD-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von PSD-Bildern existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1249: dragonltx vom Tencent-Sicherheitsteam
-
QuickTime
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von "ttfo"-Elementen gab es ein grenzüberschreitendes Byte-Austauschproblem. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1250: Jason Kratzer in Zusammenarbeit mit iDefense VCP
-
QuickTime
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1
Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von "stsz"-Atomen trat ein Problem mit der Vorzeichenbehaftung auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1245: Tom Gallagher und Paul Bates in Zusammenarbeit mit der Zero Day Initiative von HP
-
Secure Transport
Verfügbar für: OS X Mountain Lion 10.8.5
Auswirkung: Ein Angreifer kann möglicherweise durch SSL geschützte Daten entschlüsseln
Beschreibung: Es gab bekannte Angriffe auf die Vertraulichkeit von SSL 3.0 und TLS 1.0, wenn eine Cipher Suite einen Block-Cipher im CBC-Modus verwendete. Um diese Probleme für Anwendungen zu beheben, die Secure Transport verwenden, wurde die 1-Byte-Fragmentbegrenzung für diese Konfiguration standardmäßig aktiviert.
CVE-ID
CVE-2011-3389: Juliano Rizzo und Thai Duong