Sprachen

Über das Security Update 2007-002

In diesem Dokument wird das Security Update (Sicherheitsaktualisierung) 2007-002 beschrieben, das über die Option Software-Aktualisierung in den Systemeinstellungen oder über Apple Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gemacht, diskutiert und bestätigt, wenn eine vollständige Lösung gefunden wird und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie hier: "So verwenden Sie den Apple PGP-Schlüssel für die Produktsicherheit".

Sofern vorhanden werden CVE IDs zur weiteren Beschreibung der Schwachstellen verwendet.

Informationen zu weiteren Security Updates finden Sie hier: Apple Security Updates.

Sicherheits-Update 2007-002

  • Finder

    CVE-ID: CVE-2007-0197

    Verfügbar für: Mac OS X 10.4.8, Mac OS X Server 10.4.8

    Auswirkung: Die Aktivierung eines in böser Absicht erstellten Festplattenabbilds kann zum Absturz des Programms oder der Ausführung eines willkürlichen Codes führen.

    Beschreibung: Bei der Handhabung von Volume-Namen im Finder existiert ein Pufferüberlauf. Veranlasst der Benutzer die Aktivierung eines böswillig erstellten Festplattenabbilds, kann ein "Angreifer" den Pufferüberlauf auslösen, was zu einem Absturz des Programms oder zur Ausführung von Schadcode führen kann. Beweismaterial für dieses Problem wurde auf der Webseite "Month of Apple Bugs" (MOAB-09-01-2007) veröffentlicht. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Prüfung von Festplattenabbildern behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.4 sind. Dank an Kevin Finisterre von DigitalMunition, der dieses Problem gemeldet hat.

  • iChat

    CVE-ID: CVE-2007-0614, CVE-2007-0710

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.8, Mac OS X Server 10.4.8

    Auswirkung: Ein Angreifer im lokalen Netzwerk kann iChat möglicherweise zum Absturz bringen.

    Beschreibung: Eine Nullzeiger-Dereferenz in iChats Nachrichtenhandhabung unter Bonjour könnte es einem Angreifer auf dem lokalen Netzwerk ermöglichen, die Anwendung zum Absturz zu bringen. Beweismaterial für dieses Problem in Mac OS X 10.4 wurde auf der Webseite "Month of Apple Bugs" (MOAB-29-01-2007) veröffentlicht. Ein ähnliches Problem existiert in Mac OS X 10.3. Mit diesem Update wird das Problem durch die Ausführung einer zusätzlichen Prüfung von Bonjour Nachrichten behoben.

  • iChat

    CVE-ID: CVE-2007-0021

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.8, Mac OS X Server 10.4.8

    Auswirkung: Der Besuch von geeignet präparierten Webseiten kann zum Absturz eines Programms oder der Ausführung von Schadcode führen.

    Beschreibung: Im iChat AIM URL-Handler besteht eine Format-String-Schwachstelle. Veranlasst der Benutzer den Zugriff auf eine böswillig erstellte AIM URL, kann ein "Angreifer" den Pufferüberlauf auslösen, was zum Absturz des Programms oder zur Ausführung von Schadcode führen kann. Beweismaterial für dieses Problem wurde auf der Webseite "Month of Apple Bugs" (MOAB-20-01-2007) veröffentlicht. In diesem Update wird das Problem durch Ausführen einer zusätzlichen Prüfung von AIM URLs behoben.

  • UserNotification

    CVE-ID: CVE-2007-0023

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.8, Mac OS X Server 10.4.8

    Auswirkung: Böswillige lokale Benutzer könnten Systemprivilegien erhalten.

    Beschreibung: Der UserNotificationCenter Prozess wird mit erhöhten Privilegien im Kontext eines lokalen Benutzers ausgeführt. Dadurch kann es einem böswilligen lokalen Benutzer möglich sein, Systemdateien zu überschreiben oder zu ändern. Ein Programm, dass dieses Problem auslöst, wurde auf der Webseite "Month of Apple Bugs" (MOAB-22-01-2007) veröffentlicht. Dieses Update löst das Problem, indem UserNotificationCenter die Gruppenprivilegien sofort nach dem Start entzogen werden.

 

Wichtiger Hinweis: Der Hinweis auf Websites und Produkte Dritter geschieht ausschließlich zu Informationszwecken und stellt weder eine Billigung noch eine Empfehlung dar. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Websites Dritter angeboten werden. Diese Angaben dienen nur der Information. Apple hat die Informationen, die auf diesen Sites angeboten werden, nicht getestet und macht keine Angaben in Bezug auf deren Korrektheit und Verlässlichkeit. Die Verwendung aller Informationen und Produkte, die im Internet angeboten werden, unterliegt bestimmten Risiken, und Apple übernimmt diesbezüglich keine Verantwortung. Bitte haben Sie Verständnis dafür, dass Websites Dritter von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Websites hat. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert: 04.10.2008
  • Last Modified: 04.10.2008
  • Article: TA24579
  • Views:

    168

Zusätzliche Supportinformationen zum Produkt