Sprachen

Informationen zum Security Update 2007-005

In diesem Dokument wird das Security Update 2007-005 beschrieben, das mithilfe der Option Software-Aktualisierung oder über Apple Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

CVE IDs werden für die Bezugnahme auf die Schwachstellen in weiteren Informationen verwendet, wo dies möglich ist.

Informationen zu weiteren Security Updates finden Sie hier: "Apple Security Updates".

Security Update 2007-005

  • Alias Manager

    CVE-ID: CVE-2007-0740

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.9, Mac OS X Server 10.4.9

    Auswirkung: Benutzer können dazu verleitet werden, ausgetauschte Dateien zu öffnen.

    Beschreibung: Unter bestimmten Umständen führt ein Implementierungsproblem in Alias Manager dazu, dass Dateien mit identischem Namen in eingebundenen Disk-Images mit identischem Namen nicht angezeigt werden. Wird ein Benutzer dazu verleitet, zwei Disk-Images mit gleichem Namen einzubinden, so könnte ein Angreifer den Benutzer dazu bringen, ein bösartiges Programm zu öffnen. In diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung der Einbindungspfade behoben. Wir danken Greg Bolsinga von Blurb, Inc., der dieses Problem gemeldet hat.

  • BIND

    CVE-ID: CVE-2007-0493, CVE-2007-0494, CVE-2006-4095, CVE-2006-4096

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.9, Mac OS X Server 10.4.9

    Auswirkung: Mehrere Schwachstellen in BIND, von denen ein entfernter Denial-of-Service am gravierendsten ist.

    Beschreibung: BIND wird auf Version 9.3.4 aktualisiert. Weitere Informationen erhalten Sie über die ISC-Website unter http://www.isc.org/index.pl?/sw/bind/.

  • CoreGraphics

    CVE-ID: CVE-2007-0750

    Verfügbar für: Mac OS X 10.4.9, Mac OS X Server 10.4.9

    Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von PDF-Dateien existiert eine Ganzzahlüberlauf-Schwachstelle. Dieser Überlauf kann von einem Angreifer ausgelöst werden, indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte PDF-Datei zu öffnen, was zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen kann. In dieser Aktualisierung wird das Problem durch Ausführen einer zusätzlichen Validierung von PDF-Dateien behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.4 sind.

  • crontabs

    CVE-ID: CVE-2007-0751

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.9, Mac OS X Server 10.4.9

    Auswirkung: Das Skript für das tägliche Aufräumen des /tmp-Verzeichnisses kann zu einem Denial-of-Service führen.

    Beschreibung: Dateisysteme, die im Verzeichnis /tmp eingebunden sind, können gelöscht werden, wenn das Skript für das tägliche Aufräumen ausgeführt wird, was zu einem Denial-of-Service führen kann. Diese Aktualisierung behebt die Probleme durch eine Aktualisierung des entsprechenden Skripts. So wird verhindert, dass Suchbefehle in eingebundene Dateisysteme eindringen.

  • fetchmail

    CVE-ID: CVE-2007-1558

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.9, Mac OS X Server 10.4.9

    Auswirkung: fetchmail-Kennwörter könnten preisgegeben werden.

    Beschreibung: fetchmail wird auf Version 6.3.8 aktualisiert, um eine kryptografische Schwachstelle zu beseitigen, die dazu führen könnte, dass fetchmail-Kennwörter preisgegeben werden. Weitere Informationen erhalten Sie über die fetchmail-Website unter http://fetchmail.berlios.de/fetchmail-SA-2007-01.txt.

  • file-Befehl

    CVE-ID: CVE-2007-1536

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.9, Mac OS X Server 10.4.9

    Auswirkung: Das Ausführen des file-Befehls bei einer in böser Absicht erstellten Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen.

    Beschreibung: Im Befehlszeilenwerkzeug "file" existiert eine Stapelpufferüberlauf-Schwachstelle, die zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen kann. Mit dieser Aktualisierung wird das Problem durch Ausführen einer zusätzlichen Validierung der Dateien, die an den file-Befehl übergeben werden, behoben.

  • iChat

    CVE-ID: CVE-2007-2390

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.9, Mac OS X Server 10.4.9

    Auswirkung: Ein Angreifer im lokalen Netzwerk könnte einen Denial-of-Service hervorrufen oder Code willkürlich ausführen.

    Beschreibung: Im UPnP IGD (Internet Gateway Device)-Code, der für die Portzuordnung bei NAT-Gateways im häuslichen Bereich verwendet wird, besteht eine Pufferüberlauf-Schwachstelle in iChat. Durch Senden eines in böser Absicht erstellten Pakets kann ein Angreifer im lokalen Netzwerk den Überlauf auslösen, was zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen kann. Diese Aktualisierung behebt das Problem, indem eine zusätzliche Validierung bei der Verarbeitung von UPnP-Protokollpaketen in iChat erfolgt.

  • mDNSResponder

    CVE-ID: CVE-2007-2386

    Verfügbar für: Mac OS X 10.4.9, Mac OS X Server 10.4.9

    Auswirkung: Ein Angreifer im lokalen Netzwerk könnte einen Denial-of-Service hervorrufen oder Code willkürlich ausführen.

    Beschreibung: Im UPnP IGD (Internet Gateway Device)-Code, der für die Portzuordnung bei NAT-Gateways im häuslichen Bereich in der OS X mDNSResponder-Implementierung verwendet wird, besteht eine Pufferüberlauf-Schwachstelle. Durch Senden eines in böser Absicht erstellten Pakets kann ein Angreifer im lokalen Netzwerk den Überlauf auslösen, was zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen kann. Diese Aktualisierung behebt das Problem, indem eine zusätzliche Validierung bei der Verarbeitung von UPnP-Protokollpaketen erfolgt. Dieses Problem hat keine Auswirung auf Systeme, die älter sind als Mac OS X 10.4. Dank an Michael Lynn von Juniper Networks, der dieses Problem gemeldet hat.

  • PPP

    CVE-ID: CVE-2007-0752

    Verfügbar für: Mac OS X 10.4.9, Mac OS X Server 10.4.9

    Auswirkung: Lokale Benutzer könnten Systemrechte erhalten.

    Beschreibung: Im PPP-Dämon tritt beim Laden von Plug-Ins über die Befehlszeile ein Implementierungsproblem auf, durch das lokale Benutzer Systemrechte erhalten können. Mit dieser Aktualisierung wird das Problem durch eine Validierung der Benutzerprivilegien behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.4 sind. Wir danken einem anonymen Forscher, der mit iDefense VCP arbeitet, für die Meldung dieses Problems.

  • Ruby

    CVE-ID: CVE-2006-5467, CVE-2006-6303

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.9, Mac OS X Server 10.4.9

    Auswirkung: Denial-of-Service-Schwachstellen in der Ruby CGI-Bibliothek.

    Beschreibung: In der Ruby CGI-Bibliothek existieren mehrere Denial-of-Service-Schwachstellen. Durch Senden von in böser Absicht erstellten HTTP-Anfragen an eine Web-Anwendung, die cgi.rb einsetzt, könnte ein Angreifer ein Problem erzeugen, das einen Denial-of-Service hervorruft. Mit diesem Update wird dieses Problem durch Anwenden der Ruby-Patches behoben.

  • Screen

    CVE-ID: CVE-2006-4573

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.9, Mac OS X Server 10.4.9

    Auswirkung: Mehrere Denial-of-Service-Schwachstellen in GNU Screen.

    Beschreibung: Das Befehlszeilenwerkzeug "Screen" wird aktualisiert, um mehrere Denial-of-Service-Schwachstellen zu beseitigen. Weitere Informationen erhalten Sie über die GNU-Website unter http://lists.gnu.org/archive/html/screen-users/2006-10/msg00028.html.

  • texinfo

    CVE-ID: CVE-2005-3011

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.9, Mac OS X Server 10.4.9

    Auswirkung: Eine Schwachstelle in texinfo könnte dazu führen, dass beliebige Dateien überschrieben werden.

    Beschreibung: Ein Dateiverarbeitungsproblem in texinfo könnte einem lokalen Benutzer erlauben, Dateien mit den Privilegien des Benutzers, der texinfo ausführt, zu erstellen oder zu überschreiben. Diese Aktualisierung löst dieses Problem durch verbesserte Handhabung temporärer Dateien.

  • VPN

    CVE-ID: CVE-2007-0753

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.9, Mac OS X Server 10.4.9

    Auswirkung: Lokale Benutzer könnten Systemrechte erhalten.

    Beschreibung: In vpnd existiert eine Formatzeichenketten-Schwachstelle. Ein lokaler Benutzer kann durch die Ausführung des vpnd-Befehls mit in böser Absicht erstellten Argumenten die Schwachstelle ausnutzen, was zur Ausführung willkürlichen Codes mit Systemprivilegien führen kann. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung der Argumente, die an vpnd übergeben werden, behoben. Wir danken Chris Anley von NGSSoftware für die Meldung dieses Problems.

Zuletzt geändert: 04.10.2008
  • Last Modified: 04.10.2008
  • Article: TA24732
  • Views:

    161

Zusätzliche Supportinformationen zum Produkt