Sprachen

Über das Sicherheits-Update 2005-008

In diesem Dokument wird das Sicherheits-Update 2005-008 beschrieben, das mithilfe der Option Software-Aktualisierung oder über Apple Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsvorfälle von Apple nicht veröffentlicht, diskutiert oder bestätigt, bis eine vollständige Untersuchung stattgefunden hat und die notwendigen Patches oder Releases zur Verfügung stehen. Weitere Informationen zu Apples Produktsicherheit finden Sie auf der Website Apple Product Security.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: „So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel“.

CVE IDs werden für die Bezugnahme auf die Schwachstellen in weiteren Informationen verwendet, wo dies möglich ist.

Informationen zu weiteren Sicherheits-Updates finden Sie hier: „Apple Sicherheits-Updates“.

Sicherheits-Update 2005-008

  • ImageIO

    CVE-ID: CAN-2005-2747

    Verfügbar für: Mac OS X 10.4.2, Mac OS X Server 10.4.2

    Auswirkung: Das Ansehen eines in böser Absicht hergestellten GIF-Bildes kann zu willkürlicher Code-Ausführung führen.

    Beschreibung: Durch die sorgfältige Erstellung eines fehlerhaften GIF-Bildes kann ein Angreifer einen Pufferüberlauf in ImageIO auslösen, der eine willkürliche Code-Ausführung zur Folge hat. Mehrere Komponenten von Mac OS X verwenden ImageIO, einschließlich WebCore und Safari. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Bildvalidierung behoben.

  • Mail

    CVE-ID: CAN-2005-2746

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.2, Mac OS X Server 10.4.2

    Auswirkung: Bei der Verwendung von Regeln für automatische Antworten, kann es sein, dass Mail.app den Inhalt verschlüsselter Nachrichten preisgibt.

    Beschreibung: Mail.app fügt den Inhalt von Nachrichten ein, wenn Regeln für die automatische Antwort bearbeitet werden. Wenn die Nachricht, die bearbeitet wird, verschlüsselt war, enthält die automatisch generierte Nachricht den Inhalt der verschlüsselten Nachricht. Die könnte es einem Angreifer ermöglichen, die Nachricht abzufangen. Mit diesem Update wird das Problem dadurch gelöst, dass keine unverschlüsselten Antworten auf verschlüsselte Nachrichten generiert werden. Dank an Norbert Rittel von Rittel Consulting, der dieses Problem gemeldet hat.

  • Mail

    CVE-ID: CAN-2005-2745

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9

    Auswirkung: Unter Verwendung von Kerberos Version 5 für die SMTP-Authentifizierung kann es sein, dass Mail.app vertrauliche Daten preisgibt.

    Beschreibung: Bei der Verwendung der SMTP-Authentifizierung mit Kerberos Version 5, kann es sein, dass Mail.app nicht-initialisierten Speicher an eine Nachricht anhängt. Mit diesem Update wird das Problem durch Aktualisierung von Mail.app behoben. Dank an das MIT Kerberos Team, das dieses Problem gemeldet hat. Das Problem wurde in Mac OS X 10.4.2 durch Sicherheits-Update 2005-007 behoben.

  • malloc

    CVE-ID: CAN-2005-2748

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.2, Mac OS X Server 10.4.2

    Auswirkung: Ungesicherte Dateihandhabung kann lokale Privilegieneskalation zur Folge haben.

    Beschreibung: Wenn bestimmte Umgebungsvariablen für die Aktivierung des Debuggings von Speicherzuweisung für Anwendungen eingestellt sind, werden Dateien mit Diagnoseinformationen auf ungesicherte Weise erstellt. Dies könnte es einem böswilligen Benutzer ermöglichen, willkürlich Daten zu ändern. Mit diesem Update wird das Problem durch Daektivierung des malloc-Debugging in privilegierten Programmen gelöst. Dank an Ilja van Sprundel von Suresec LTD, der dieses Problem gemeldet hat.

  • QuickDraw Manager

    CVE-ID: CAN-2005-2744

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.2, Mac OS X Server 10.4.2

    Auswirkung: Das Ansehen eines in böser Absicht hergestellten PICT-Bildes kann zu willkürlicher Code-Ausführung führen.

    Beschreibung: Durch die sorgfältige Erstellung eines fehlerhaften PICT-Bildes kann ein Angreifer einen Pufferüberlauf in QuickDraw Manager auslösen, der eine willkürliche Code-Ausführung zur Folge hat. Mehrere Komponenten von Mac OS X verwenden QuickDraw Manager, zum Beispiel Safari, Mail und der Finder. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Bildvalidierung behoben. Dank an Henrik Dalgaard von Echo One, der dieses Problem gemeldet hat.

  • QuickTime für Java

    CVE-ID: CAN-2005-2743

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9

    Auswirkung: Ein nicht vertrauenswürdiges Applet könnte erhöhte Privilegien erlangen.

    Beschreibung: Die Java-Erweiterungen, die mit QuickTime 6.52 und älter gebündelt sind, ermöglichen es nicht-vertrauenswürdigen Applets, willkürliche Funktionen aus Systembibliotheken aufzurufen. In diesem Update wird das Problem gelöst, indem dieses Aufrufe auf vertrauenswürdige Applets beschränkt werden. Systeme, die QuickTime 7 oder neuer ausführen, sind von diesem Problem nicht betroffen. Systeme, die Mac OS X 10.4 oder neuer ausführen, sind ebenfalls nicht von diesem Problem betroffen. Dank an Dino Dai Zovi, der dieses Problem gemeldet hat.

  • Ruby

    CVE-ID: CAN-2005-1992

    Verfügbar für: Mac OS X 10.4.2, Mac OS X Server 10.4.2

    Auswirkung: Ruby Anwendungen, die das xmlrpc Modul verwenden, können für willkürliche Code-Ausführung anfällig sein.

    Beschreibung: Das Ruby xmlrpc/utils Modul verwendet die Methode Module#public_instance_methods, um zu bestimmen, welche Methoden entfernt unter Verwendung von XML-RPC aufgerufen werden können. Ein Wechsel zwischen verschiedenen Versionen von Ruby hat dazu geführt, dass diese Methodenliste unbeabsichtigterweise Methoden enthält, die dazu verwendet werden könnten, willkürlichen Ruby Code durchzuführen. Mit diesem Update wird das Problem durch Aktualisierung des xmlrpc/utils Moduls gelöst. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.4 sind.

  • Safari

    CVE-ID: CAN-2005-2524

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9

    Auswirkung: In böser Absicht erstellte Web-Archive könnten möglicherweise Skripting über mehrere Sites ermöglichen.

    Beschreibung: Es ist möglich, Web-Archive, die von entfernten Sites bereitgestellt werden, in Safari anzusehen. In böser Absicht erstellte Web-Archive könnten als Inhalte von Sites dargestellt werden, die diese nicht bereitgestellt haben. Mit diesem Update wird verhindert, dass Web-Archive geladen werden. Safari Web-Archive wurden in Safari 2.0 eingeführt. Das Problem wurde in Mac OS X 10.4.2 durch Sicherheits-Update 2005-007 behoben.

  • SecurityAgent

    CVE-ID: CAN-2005-2742

    Verfügbar für: Mac OS X 10.4.2, Mac OS X Server 10.4.2

    Auswirkung: Einem Benutzer mit physischen Zugang zu einem System könnte es möglich sein, die Einstellung „Kennwort verlangen beim Beenden des Ruhezustandes oder des Bildschirmschoners“ zu umgehen.

    Beschreibung: Unter bestimmten umständen kann es sein, dass die Taste „Benutzer wechseln…“ angezeigt wird, obwohl die Einstellung „Schnellen Benutzerwechsel ermöglichen“ deaktiviert ist. Dies könnte dazu führen, dass der Schreibtisch des aktuell angemeldeten Benutzers ohne Authentifizierung angezeigt wird. Mit diesem Update wird verhindert, dass die Taste „Benutzer wechseln…“ angezeigt wird, wenn dies unangemessen ist. Dieses Problem hat keinen Einfluss auf Systeme, die älter als Mac OS X 10.4 sind. Dank an Luke Fowler vom Indiana University Global Research Network Operations Center, der dieses Problem gemeldet hat.

  • securityd

    CVE-ID: CAN-2005-2741

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.2, Mac OS X Server 10.4.2

    Auswirkung: Benutzer mit böswilligen Absichten könnten sich selbst Rechte zum Manipulieren beliebiger Dateien oder Ausführen privilegierter Aktionen geben.

    Beschreibung: Authorization Services ermöglicht nicht-privilegierten Benutzern, bestimmte Rechte zu gewähren, die auf Administratoren beschränkt sein sollten, was zur Eskalation von Privilagien führen könnte. Mit diesem Update wird das Problem durch Hinzufügen von Beschränkungen der Arten von Rechten gelöst, die sich nicht-privilegiert Benutzer erteilen können.

Zusätzliche Informationen

Auch sind in diesem Update Verbesserungen an LoginWindow enthalten, die eine verbesserte Interaktion mit der Kindersicherung (Mac OS X 10.3.9) ermöglichen, sowie X509Anchors, die das Wells Fargo Root-Zertifikat enthalten (Mac OS X 10.3.9) und Safe Download Validation, das Web-Archive (Mac OS X 10.4.2) enthält.

Zuletzt geändert: 04.10.2008
  • Last Modified: 04.10.2008
  • Article: TA23535
  • Views:

    182

Zusätzliche Supportinformationen zum Produkt