Sprachen

Über den Sicherheitsinhalt des Mac OS X 10.4.1 Updates

In diesem Dokument wird der Sicherheitsinhalt des Mac OS X 10.4.1 Updates beschrieben. Dieses kann unter Verwendung der Option Software-Aktualisierung oder bei Apple Downloads geladen werden.

Zum Schutz unserer Kunden werden Sicherheitsvorfälle von Apple nicht veröffentlicht, diskutiert oder bestätigt, bis eine vollständige Untersuchung stattgefunden hat und die notwendigen Patches oder Releases zur Verfügung stehen. Weitere Informationen zu Apples Produktsicherheit finden Sie auf der Website Apple Produktsicherheit.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

CVE IDs werden für die Bezugnahme auf die Schwachstellen in weiteren Informationen verwendet, wo dies möglich ist.

Informationen zu weiteren Sicherheits-Updates finden Sie hier: "Apple Sicherheits-Updates".

Mac OS X 10.4.1 Update

  • Bluetooth

    Verfügbar für: Mac OS X 10.4, Mac OS X Server 10.4

    CVE-ID: CAN-2005-1333

    Auswirkung: Verzeichnistraversalproblem über Bluetooth-Datei- und Objektaustausch

    Beschreibung: Aufgrund unzureichender Eingabeüberprüfung könnten die Bluetooth-Datei- und Objektaustausch-Dienste zum Zugriff auf Dateien außerhalb des Standard-Dateiaustauschverzeichnisses verwendet werden. Mit diesem Update wird dieses Problem durch Hinzufügen verbesserter Filter für die pfadbeschränkenden Zeichen behoben. Dank an to kf_lists[at]digitalmunition[dot]com für die Meldung dieses Problems.

  • Dashboard

    CVE-ID: CAN-2005-1474

    Verfügbar für: Mac OS X 10.4, Mac OS X Server 10.4

    Auswirkung: Nicht-vertrauenswürdige Websites können Widgets über Safari laden und installieren, ohne dass die Warnung zur Validierung des sicheren Downloads angezeigt wird

    Beschreibung: Mit diesem Update wird die automatische Installation von Dashboard Widgets blockiert. Die Warnung zur Validierung des sicheren Downloads in Mac OS X wird aktiviert, sodass der Benutzer zustimmen muss, bevor ein Dashboard Widget von Safari installiert wird. Dieses Problem hat keine Auswirkung auf Mac OS X Releases, die älter als 10.4 sind. Weitere Informationen zum Entfernen von Dashboard Widgets, die Sie installiert haben, stehen hier zur Verfügung.

  • Kernel

    CVE-ID: CAN-2005-1472

    Verfügbar für: Mac OS X 10.4, Mac OS X Server 10.4

    Auswirkung: Benutzer können die Namen von Dateien herausfinden, die sich an normalerweise nicht durchsuchbaren Orten befinden

    Beschreibung: Zwei Systemaufrufe, die für die Ermöglichung des effizienten Durchsuchens von Dateisystemobjekten ausgelegt sind, überprüften die Berechtigungen der einschließenden Verzeichnisse nicht korrekt und gaben Dateinamen frei. Die inkorrekte Überprüfung trat nur für Verzeichnisse auf bei denen POSIX nicht gelesen wurde, bei denen jedoch die POSIX-Ausführungsbits auf "Gruppe" und "Sonstige" eingestellt waren. In der Praxis hat diese Schwachstelle nur Auswirkungen auf Dateien, die in ~/Öffentlich/Ablagefach des Benutzers abgelegt sind. Dieses Update löst das Problem, indem den POSIX-Berechtigungsbits auf Verzeichnissen korrekt Rechnung getragen wird. Dank an John M. Glenn aus San Francisco, der dieses Problem gemeldet hat.

  • Kernel

    Verfügbar für: Mac OS X 10.4, Mac OS X Server 10.4

    CVE-ID: CAN-2005-0974 CERT: VU#713614

    Auswirkung: Lokale Systembenutzer können einen lokalen Denial of Service-Angriff auslösen

    Beschreibung: Aufgrund unzureichender Prüfung der Eingabewerte könnte eine Schwachstelle im nfs_mount()-Aufruf nicht-privilegierten lokalen Benutzern erlauben, einen Denial of Service-Angriff über einen schweren Kernel-Systemfehler zu erzeugen.

  • SecurityAgent

    CVE-ID: CAN-2005-1473

    Verfügbar für: Mac OS X 10.4, Mac OS X Server 10.4

    Auswirkung: Benutzer mit physischen Zugriff auf ein System mit einem gesperrten Bildschirmschoner können Hintergrundanwendungen starten

    Beschreibung: Eine Kontextmenüfunktion in Mac OS X 10.4 ermöglicht das Öffnen von URLs von innerhalb eines Texteingabefelds. Dies könnte zum Start einer Anwendung hinter dem gesperrten Bildschirmschonerfenster führen. Mit diesem Update wird das Problem gelöst, indem das Kontextmenü aus den Texteingabefeldern des Bildschirmschoners entfernt wird.

Zuletzt geändert: 04.10.2008
Diese Seite drucken
  • Zuletzt geändert: 04.10.2008
  • Artikel: TA23244
  • Aufrufe:

    17290