Sprachen

Sicherheits-Update 2006-004 für Mac Pro

Das Sicherheits-Update 2006-004 wurde am 1. August herausgegeben. Einzelheiten dazu sind im folgenden Artikel beschrieben:
http://docs.info.apple.com/article.html?artnum=304063-de.

Die Korrekturen im Sicherheits-Update 2006-004 (veröffentlicht am 1. August) sind im neu herausgegebenen Mac Pro Produkt enthalten, mit Ausnahme der unten aufgeführten Verbesserungen für AppKit, ImageIO und OpenSSH. Die Korrekturen zu diesen Problemen konnten bis zur Herstellung von Mac Pro nicht vollständig getestet werden. Deshalb werden Sie in diesem besonderen Sicherheits-Update nur für den Mac Pro zur Verfügung gestellt.

Dieses Update ist eine Untergruppe des vollständigen Sicherheits-Update 2006-004, das am 1. August herausgegeben wurde. Systeme, auf denen das am 1. August veröffentlichte Sicherheits-Update 2006-004 bereits installiert wurde, benötigen dieses Update nicht.

Die folgenden Korrekturen zur Sicherheit werden nur für Mac Pro bereitgestellt, damit das System auf die höchste Sicherheitsstufe des Sicherheits-Update 2006-004 (Herausgabe 1. August) gebracht werden kann.

  • AppKit, ImageIO

    CVE-ID: CVE-2006-3459, CVE-2006-3461, CVE-2006-3462, CVE-2006-3465

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.7, Mac OS X Server 10.4.7

    Auswirkung: Das Anzeigen eines in böser Absicht hergestellten TIFF-Bilds kann zu einem Absturz der Anwendung oder zur Ausführung von willkürlichem Code führen.

    Beschreibung: Pufferüberläufe wurden bei der Bearbeitung von TIFF-Tags (CVE-2006-3459, CVE-2006-3465), der TIFF PixarLog Decodierung (CVE-2006-3461) und der TIFF NeXT RLE Decodierung (CVE-2006-3462) festgestellt. Durch die sorgfältige Erstellung eines fehlerhaften TIFF-Bildes kann ein Angreifer einen Pufferüberlauf auslösen, der den Absturz der Anwendung oder eine willkürliche Code-Ausführung zur Folge hat. Mit diesem Update wird das Problem behoben, indem eine zusätzliche TIFF-Bildvalidierung durchgeführt wird. Systeme, die älter sind als Mac OS X 10.4, sind nur von dem TIFF NeXT RLE Decodierungsproblem (CVE-2006-3462) betroffen. Dank an Tavis Ormandy von Google Security Team, der dieses Problem gemeldet hat.

    Hinweis: Ein fünftes Problem, CVE-2006-3460, das von Tavis Ormandy entdeckt wurde, hat keinen Einfluss auf Mac OS X.

  • OpenSSH

    CVE-ID: CVE-2006-0393

    Verfügbar für: Mac OS X 10.4.7, Mac OS X Server 10.4.7

    Auswirkung: Wenn Remote Login aktiviert ist, können entfernte Angreifer möglicherweise einen Denial-of-Service auslösen oder feststellen, ob ein Account existiert.

    Beschreibung: Der Versuch, sich auf einem OpenSSH Server mit einem nicht existierenden Account anzumelden ("Remote Login"), kann den Authentifizierungsvorgang behindern. Ein Angreifer kann dieses Verhalten ausnutzen, um festzustellen, ob ein bestimmter Account existiert. Wird dies mehrmals versucht, tritt möglicherweise ein Denial-of-Service auf. Mit diesem Update wird das Problem behoben. Anmeldeversuche von nicht existierenden Benutzern werden ordnungsgemäß gehandhabt. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.4 sind. Dank an Rob Middleton von Centenary Institute (Sydney, Australien), der dieses Problem gemeldet hat.

Zuletzt geändert: 04.10.2008
Diese Seite drucken
  • Zuletzt geändert: 04.10.2008
  • Artikel: TA24292
  • Aufrufe:

    14258

Zusätzliche Supportinformationen zum Produkt