Informationen zum Sicherheitsinhalt von OS X Mountain Lion 10.8.4 und zum Sicherheitsupdate 2013-002
In diesem Dokument wird der Sicherheitsinhalt von OS X Mountain Lion 10.8.4 und das Sicherheitsupdate 2013-002 beschrieben, das über die Einstellungen für Softwareupdates oder über Apple-Downloads heruntergeladen und installiert werden kann.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.
OS X Mountain Lion 10.8.4 und Sicherheitsupdate 2013-002
Hinweis: OS X Mountain Lion 10.8.4 umfasst den Inhalt von Safari 6.0.5. Weitere Informationen findest du unter Informationen zum Sicherheitsinhalt von Safari 6.0.5.
CFNetwork
Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.3
Auswirkung: Ein Angreifer mit Zugriff auf eine Benutzersitzung kann sich auf zuvor besuchten Seiten anmelden, auch wenn das private Surfen verwendet wurde.
Beschreibung: Nach dem Beenden von Safari wurden permanente Cookies gesichert, auch wenn das private Surfen aktiviert war. Dieses Problem wurde durch eine verbesserte Handhabung von Cookies behoben.
CVE-ID
CVE-2013-0982: Alexander Traud von www.traud.de
CoreAnimation
Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.3
Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von Textglyphen konnte ein Problem bei der Zuweisung ungebundener Stapel auftreten. Dies konnte durch in böswilliger Absicht erstellte URLs in Safari verursacht werden. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2013-0983: David Fifield von der Stanford University, Ben Syverson
CoreMedia Playback
Verfügbar für: OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.3
Auswirkung: Das Abspielen einer in böswilliger Absicht erstellten Videodatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von Text-Tracks trat ein Problem beim Zugriff auf uninitialisierten Speicher auf. Dieses Problem wurde durch eine zusätzliche Überprüfung von Text-Tracks behoben.
CVE-ID
CVE-2013-1024: Richard Kuo und Billy Suguitan von der Triemt Corporation
CUPS
Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.3
Auswirkung: Ein lokaler Benutzer in der lpadmin-Gruppe kann mit Systemrechten Lese- oder Schreibvorgänge an beliebigen Dateien durchführen.
Beschreibung: Bei der Verarbeitung der CUPS-Konfiguration über das CUPS-Web-Interface trat ein Problem bei der Rechteausweitung auf. Ein lokaler Benutzer in der lpadmin-Gruppe kann mit Systemrechten Lese- oder Schreibvorgänge an beliebigen Dateien durchführen. Dieses Problem wurde durch das Verschieben bestimmter Konfigurationsanweisungen in cups-files.conf behoben, sodass sie nicht über das CUPS-Web-Interface geändert werden können.
CVE-ID
CVE-2012-5519
Directory Service
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Auswirkung: Ein Angreifer kann in Systemen, bei denen Directory Service aktiviert ist, aus der Ferne willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Es trat ein Problem bei der Verarbeitung von Nachrichten aus dem Netzwerk durch den Directory-Server auf. Durch das Senden einer in böswilliger Absicht erstellten Nachricht konnte ein Angreifer aus der Ferne dafür sorgen, dass der Directory-Server ausfällt oder willkürlicher Code mit Systemrechten ausgeführt wird. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Dieses Problem betrifft nicht Systeme mit OS X Lion oder OS X Mountain Lion.
CVE-ID
CVE-2013-0984: Nicolas Economou von Core Security
Disk Management
Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.3
Auswirkung: Ein lokaler Benutzer kann FileVault deaktivieren.
Beschreibung: Ein lokaler Benutzer ohne Administratorrechte kann FileVault über die Befehlszeile deaktivieren. Dieses Problem wurde durch eine zusätzliche Authentifizierung behoben.
CVE-ID
CVE-2013-0985
OpenSSL
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.3
Auswirkung: Ein Angreifer kann Daten entschlüsseln, die per SSL geschützt sind.
Beschreibung: Es sind Angriffe auf die Vertraulichkeit von TLS 1.0 bei aktivierter Komprimierung bekannt. Dieses Problem wurde durch die Deaktivierung der Komprimierung in OpenSSL behoben.
CVE-ID
CVE-2012-4929: Juliano Rizzo und Thai Duong
OpenSSL
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.3
Auswirkung: diverse Schwachstellen in OpenSSL
Beschreibung: OpenSSL wurde auf die Version 0.9.8x aktualisiert, um diverse Schwachstellen zu beheben, die zum Denial of Service oder der Offenlegung privater Schlüssel führen können. Weitere Information befinden sich auf der OpenSSL-Website unter http://www.openssl.org/news/
CVE-ID
CVE-2011-1945
CVE-2011-3207
CVE-2011-3210
CVE-2011-4108
CVE-2011-4109
CVE-2011-4576
CVE-2011-4577
CVE-2011-4619
CVE-2012-0050
CVE-2012-2110
CVE-2012-2131
CVE-2012-2333
QuickDraw Manager
Verfügbar für: OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2
Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PICT-Bilddatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von PICT-Bilddateien konnte ein Pufferüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2013-0975: Tobias Klein in Zusammenarbeit mit Zero Day Initiative von HP
QuickTime
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.3
Auswirkung: Das Abspielen einer in böswilliger Absicht erstellten Videodatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von „enof“-Atomen konnte ein Pufferüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2013-0986: Tom Gallagher (Microsoft) und Paul Bates (Microsoft) in Zusammenarbeit mit der Zero Day Initiative von HP
QuickTime
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.3
Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten QTIF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von QTIF-Dateien trat ein Speicherfehler auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2013-0987: roob in Zusammenarbeit mit iDefense VCP
QuickTime
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis v10.7.5, OS X Mountain Lion 10.8 bis 10.8.3
Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten FPX-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von FPX-Dateien konnte ein Pufferüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2013-0988: G. Geshev in Zusammenarbeit mit der Zero Day Initiative von HP
QuickTime
Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.3
Auswirkung: Das Abspielen einer in böswilliger Absicht erstellten MP3-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von MP3-Dateien konnte ein Pufferüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2013-0989: G. Geshev in Zusammenarbeit mit der Zero Day Initiative von HP
Ruby
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Auswirkung: diverse Schwachstellen in Ruby on Rails
Beschreibung: In Ruby on Rails lagen diverse Schwachstellen vor, von denen die schwerwiegendste zur Ausführung willkürlichen Codes in Systemen führen konnte, auf denen Anwendungen von Ruby on Rails laufen. Diese Probleme wurden durch das Aktualisieren von Ruby on Rails auf die Version 2.3.18 behoben. Das Problem kann Systeme mit OS X Lion oder OS X Mountain Lion betreffen, bei denen ein Upgrade von Mac OS X 10.6.8 oder früher erfolgt ist. Benutzer können mit dem Utility /usr/bin/gem die betroffenen Gems in den entsprechenden Systemen aktualisieren.
CVE-ID
CVE-2013-0155
CVE-2013-0276
CVE-2013-0277
CVE-2013-0333
CVE-2013-1854
CVE-2013-1855
CVE-2013-1856
CVE-2013-1857
SMB
Verfügbar für: OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.3
Auswirkung: Ein berechtigter Benutzer kann Schreibvorgänge an Dateien außerhalb des freigegebenen Verzeichnisses durchführen.
Beschreibung: Bei aktivierter SMB-Dateifreigabe kann ein berechtigter Benutzer Schreibvorgänge an Dateien außerhalb des freigegebenen Verzeichnisses durchführen. Dieses Problem wurde durch eine verbesserte Zugriffssteuerung behoben.
CVE-ID
CVE-2013-0990: Ward van Wanrooij
Hinweis: Ab OS X 10.8.4 müssen aus dem Internet heruntergeladene Java-Web-Start-Anwendungen (d. h. JNLP) mit einem Entwickler-ID-Zertifikat signiert sein. Der Gatekeeper prüft heruntergeladene Java-Web-Start-Anwendungen auf eine Signatur und blockiert den Start von Anwendungen, die nicht ordnungsgemäß signiert sind.
Mit dem Codesign-Utility kannst du die JNLP-Datei signieren. Dadurch erhält sie eine Code-Signatur in Form erweiterter Attribute. Du kannst diese Attribute dauerhaft speichern, indem du die JNLP-Datei als ZIP-, XIP- oder DMG-Datei verpackst. Gehe beim Verwenden des ZIP-Formats mit Umsicht vor, da bei manchen Drittanbieter-Tools die erforderlichen erweiterten Attribute möglicherweise nicht korrekt erfasst werden.
Weitere Informationen erhältst du unter Technical Note TN2206: macOS Code Signing In Depth.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.