Sprachen

Über das Security Update 2006-002

In diesem Dokument wird das Security Update (Sicherheitsaktualisierung) 2006-002 beschrieben, das über die Option Software-Aktualisierung in den Systemeinstellungen oder über Apple Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gemacht, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Web-Seite Produktsicherheit von Apple.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie hier: "So verwenden Sie den Apple PGP-Schlüssel für die Produktsicherheit".

CVE IDs werden für die Bezugnahme auf die Schwachstellen in weiteren Informationen verwendet, wo dies möglich ist.

Informationen zu weiteren Security Updates finden Sie hier: "Apple Security Updates".

Hinweis: Das Security Update 2006-002 v1.1 wurde veröffentlicht, um das folgende Problem zu beheben: Safari wurde von v1.0 nicht aktualisiert, wenn es von seinem standardmäßgen Ort im Ordner "Programme" an einen anderen Ort bewegt wurde. Dieser Artikel beschreibt die notwendigen Schritte, wenn Safari sich nicht im Ordner "Programme" befindet.

Wenn Safari sich im Ordner "Programme" befindet, ist das Security Update 2006-002 ausreichend, und es ist nicht notwendig, das Security Update 2006-002 v1.1 zu installieren.

Security Update 2006-002

  • CoreTypes

    CVE-ID: CVE-2006-0400

    Verfügbar für: Mac OS X 10.4.5, Mac OS X Server 10.4.5

    Auswirkung: Entfernte Web-Sites können JavaScript veranlassen, die Richtlinien zum gleichen Ursprung zu umgehen

    Beschreibung: Wenn Dokumente, die Javascript enthalten, von einer entfernten Web-Site geladen werden, wird der Datenzugriff durch die Richtlinien zum gleichen Ursprung eingeschränkt. Unter bestimmten Umständen können in böser Absicht erstellte Archive jedoch veranlassen, dass diese Beschränkungen umgangen werden.  Dieses Update behebt das Problem, indem solche Dokumente als unsicher gekennzeichnet werden.

  • Mail

    CVE-ID: CVE-2006-0396

    Verfügbar für: Mac OS X 10.4.5, Mac OS X Server 10.4.5

    Auswirkung: Das Doppelklicken auf einen Anhang in Mail kann die Ausführung willkürlichen Codes zu Folge haben

    Beschreibung: Durch das Bereitstellen einer in besonderer Weise hergestellten E-Mail-Nachricht mit Anhängen und das Verleiten des Benutzers, innerhalb von Mail in diesen Anhang doppelt zu klicken, kann ein Angreifer möglicherweise einen Pufferüberlauf auslösen.  Dies kann die Ausführung willkürlichen Codes mit den Privilegien des Benutzers, der Mail ausführt, zur Folge haben. Mit diesem Update wird das Problem durch die Durchführung zusätzlicher Abgrenzugsüberprüfungen behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.4 sind. Dank an Kevin Finisterre von DigitalMunition, der dieses Problem gemeldet hat.

  • Safari, LaunchServices, CoreTypes

    CVE-ID: CVE-2006-0397, CVE-2006-0398, CVE-2006-0399

    Verfügbar für: Mac OS X 10.4.5, Mac OS X Server 10.4.5

    Auswirkung: Das Anzeigen einer in böser Absicht bereitgestellten Web-Seite kann zu willkürlicher Code-Ausführung führen

    Beschreibung: Durch das Security Update 2006-001 wurde ein Problem behoben, bei dem Safari automatisch eine Datei öffnen konnte, die zwar als sicherer Dateityp erscheint (z. B. ein Bild oder ein Film), in Wirklichkeit jedoch ein Programm ist.  Dieses Update bietet zusätzliche Überprüfungen, um Variationen solcher Dateien, die in Security Update 2006-001 angesprochen wurden, zu identifizieren, damit auch diese nicht automatisch geöffnet werden.  Dieses Problem betrifft keine Systeme, die älter als Mac OS X 10.4 sind. Dank an Will Dormann von CERT/CC und Andris Baumberger, die mehrere dieser Probleme gemeldet haben.

Die folgenden nicht-sicherheiterelevanten Probleme, die von Security Update 2006-001 eingeführt wurden, werden ebenfalls in diesem Update behoben:

  • Download-Validierung: Security Update 2006-001 konnte verursachen, dass der Benutzer gewarnt wurde, wenn er bestimmte sichere Dateiarten erhielt (z. B. Word-Dokumente und Ordner, die benutzerdefinierte Symbole enthalten). Solche unnötigen Warnungen werden mit diesem Update deaktiviert.

  • apache_mod_php: In diesem Update wird eine Regression in PHP 4.4.1 korrigiert, die dazu führen kann, dass SquirrelMail nicht korrekt funktioniert.

  • rsync: In diesem Update wird eine Regression in rsync korrigiert, die das Funktionieren der Befehlszeilenoption "--delete" verhindert hat.

Zuletzt geändert: 04.10.2008
  • Last Modified: 04.10.2008
  • Article: TA23996
  • Views:

    165

Zusätzliche Supportinformationen zum Produkt