Sprachen

Informationen zum Security Update 2007-006

In diesem Dokument wird das Security Update 2007-006 beschrieben, das mithilfe der Option Software-Aktualisierung oder über Apple Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

CVE IDs werden für die Bezugnahme auf die Schwachstellen in weiteren Informationen verwendet, wo dies möglich ist.

Informationen zu weiteren Security Updates finden Sie hier: "Apple Security Updates".

Security Update 2007-006

  • WebCore

    CVE-ID: CVE-2007-2401

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.9 oder höher, Mac OS X Server 10.4.9 oder höher

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann siteübergreifende Anforderungen ermöglichen.

    Beschreibung: In XMLHttpRequest existiert eine HTTP-Injektion, wenn Header in einer HTTP-Anforderung serialisiert werden. Wird ein Benutzer dazu verleitet, eine in böser Absicht erstellte Website zu besuchen, könnte ein Angreifer siteübergreifende Scripting-Attacken durchführen. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung der Header-Parameter behoben. Wir danken Richard Moore von Westpoint Ltd. für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2007-2399

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.9 oder höher, Mac OS X Server 10.4.9 oder höher

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Eine ungültige Typenkonvertierung beim Rendern von Frame-Sets könnte zur Speicherkorruption führen. Der Besuch einer in böser Absicht erstellten Webseite kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Wir danken Rhys Kidd von Westnet für die Meldung dieses Problems.

Zuletzt geändert: 04.10.2008
Diese Seite drucken
  • Zuletzt geändert: 04.10.2008
  • Artikel: TA24792
  • Aufrufe:

    65290