Informationen zum Sicherheitsinhalt des Sicherheitsupdates 2009-001

In diesem Dokument wird das Sicherheitsupdate 2007-001 beschrieben, das über die Einstellungen für Softwareupdate oder über Apple-Downloadsgeladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.

Sicherheitsupdate 2009-001

  • AFP Server

    CVE-ID: CVE-2009-0142

    Verfügbar für: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Ein Benutzer, der eine Verbindung zu AFP Server herstellen kann, ist möglicherweise in der Lage, einen Denial-of-Service-Angriff auszulösen.

    Beschreibung: Eine Race-Bedingung in AFP Server kann zu einer Endlosschleife führen. Die Aufzählung von Dateien auf einem AFP-Server kann zu einem Denial-of-Service führen. Dieses Update behebt das Problem durch eine verbesserte Dateiaufzählungslogik. Dieses Problem betrifft nur Systeme mit Mac OS X v10.5.6.

  • Apple Pixlet Video

    CVE-ID: CVE-2009-0009

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung von beliebigem Code führen

    Beschreibung: Bei der Handhabung von Filmdateien, die den Pixlet-Codec verwenden, gibt es ein Problem mit der Speicherbeschädigung. Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Quelle: Apple.

  • CarbonCore

    CVE-ID: CVE-2009-0020

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Das Öffnen einer Datei mit einem in böswilligerAbsicht erstellten Resource-Fork kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung von beliebigem Code führen

    Beschreibung: Bei der Behandlung von Resource-Forks durch den Ressourcenmanager gibt es ein Problem mit der Speicherbeschädigung. Das Öffnen einer Datei mit einem in böswilliger Absicht erstellten Resource-Fork kann zu einer unerwarteten Beendigung der Anwendung oder der Ausführung von beliebigem Code führen. Dieses Update behebt das Problem durch eine verbesserte Validierung von Resource-Forks. Quelle: Apple.

  • CFNetwork

    Verfügbar für: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Stellt den ordnungsgemäßen Betrieb von Cookies mit ungültigen Ablaufzeiten wieder her

    Beschreibung: Dieses Update behebt eine nicht sicherheitsrelevante Regression, die in Mac OS X 10.5.6 eingeführt wurde. Cookies werden möglicherweise nicht richtig gesetzt, wenn eine Website versucht, ein Sitzungscookie zu setzen, indem sie einen Nullwert im Feld „expires“ angibt, anstatt das Feld wegzulassen. Diese Aktualisierung behebt das Problem, indem das Feld „expires“ ignoriert wird, wenn es einen Nullwert hat.

  • CFNetwork

    Verfügbar für: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Wiederherstellung der ordnungsgemäßen Funktion von Sitzungscookies in allen Anwendungen

    Beschreibung: Diese Aktualisierung behebt eine nicht sicherheitsrelevante Regression, die in Mac OS X 10.5.6 eingeführt wurde. CFNetwork speichert möglicherweise keine Cookies auf der Festplatte, wenn mehrere geöffnete Anwendungen versuchen, Sitzungscookies zu setzen. Dieses Update behebt das Problem, indem es sicherstellt, dass jede Anwendung ihre Sitzungscookies separat speichert.

  • Certificate Assistant

    CVE-ID: CVE-2009-0011

    Verfügbar für: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Ein lokaler Benutzer kann Dateien mit den Rechten eines anderen Benutzers manipulieren, der den Zertifikatsassistenten ausführt.

    Beschreibung: Bei der Handhabung von temporären Dateien durch den Zertifikatsassistenten gibt es eine unsichere Dateioperation. Dies könnte es einem lokalen Benutzer ermöglichen, Dateien mit den Rechten eines anderen Benutzers zu überschreiben, der den Zertifikatsassistenten ausführt. Dieses Update behebt das Problem durch eine verbesserte Bearbeitung temporärer Dateien. Dieses Problem betrifft keine Systeme vor Mac OS X v10.5.

  • ClamAV

    CVE-ID: CVE-2008-5050, CVE-2008-5314

    Verfügbar für: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Auswirkung: Mehrere Schwachstellen in ClamAV 0.94

    Beschreibung: Es gibt mehrere Schwachstellen in ClamAV 0.94, von denen die schwerwiegendste zur Ausführung von beliebigem Code führen kann. Dieses Update behebt die Probleme, indem ClamAV auf Version 0.94.2 aktualisiert wird. ClamAV wird nur mit Mac OS X Server-Systemen vertrieben. Weitere Informationen sind auf der ClamAV-Website verfügbar unter http://www.clamav.net/

  • CoreText

    CVE-ID: CVE-2009-0012

    Verfügbar für: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Das Betrachten von in böswilliger Absicht erstellten Unicode-Inhalten kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen

    Beschreibung: Bei der Verarbeitung von Unicode-Strings in CoreText kann ein Heap-Pufferüberlauf auftreten. Die Verwendung von CoreText zur Verarbeitung von in böswilliger Absicht erstellten Unicode-Zeichenfolgen, z. B. beim Anzeigen einer in böswilliger Absicht erstellten Webseite, kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Dieses Problem betrifft keine Systeme vor Mac OS X v10.5. Wir danken Rosyna von Unsanity für die Meldung dieses Problems.

  • CUPS

    CVE-ID: CVE-2008-5183

    Verfügbar für: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Beendigung der Anwendung führen

    Beschreibung: Das Überschreiten der maximalen Anzahl von RSS-Abonnements führt zu einer Null-Zeiger-Dereferenz in der CUPS-Webschnittstelle. Beschreibung: Das Überschreiten der maximalen Anzahl von RSS-Abonnements führt zu einer Null-Zeiger-Dereferenz in der CUPS-Webschnittstelle. Um dieses Problem auszulösen, müssen dem Angreifer entweder gültige Benutzerdaten bekannt sein oder im Webbrowser des Benutzers zwischengespeichert werden. CUPS wird automatisch neu gestartet, nachdem dieses Problem aufgetreten ist. Dieses Update behebt das Problem, indem es die Anzahl der RSS-Abonnements korrekt behandelt. Dieses Problem betrifft keine Systeme vor Mac OS X v10.5.

  • DS Tools

    CVE-ID: CVE-2009-0013

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: An dscl übermittelte Passwörter sind für andere lokale Benutzer zugänglich

    Beschreibung: Das Befehlszeilentool dscl erforderte die Übergabe von Passwörtern in seinen Argumenten, wodurch die Passwörter möglicherweise für andere lokale Benutzer sichtbar werden. Zu den aufgedeckten Passwörtern gehören die für Benutzer und Administratoren. Mit diesem Update wird der Passwortparameter optional, und dscl fordert bei Bedarf zur Eingabe des Passworts auf. Quelle: Apple.

  • fetchmail

    CVE-ID: CVE-2007-4565, CVE-2008-2711

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Mehrere Schwachstellen in fetchmail 6.3.8

    Beschreibung: Es gibt mehrere Schwachstellen in fetchmail 6.3.8, von denen die schwerwiegendste zu einem Denial-of-Service führen kann. Dieses Update behebt die Probleme durch ein Update auf Version 6.3.9. Weitere Informationen finden sich auf der fetchmail-Website unter http://fetchmail.berlios.de/

  • Folder Manager

    CVE-ID: CVE-2009-0014

    Verfügbar für: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Andere lokale Benutzer können auf den Download-Ordner zugreifen

    Beschreibung: Im Folder Manager gibt es ein Problem mit Standardberechtigungen. Wenn ein Benutzer seinen Downloads-Ordner löscht und der Ordner-Manager ihn neu erstellt, wird der Ordner mit Leseberechtigungen für alle erstellt. Dieses Update behebt das Problem, indem der Ordner-Manager die Berechtigungen so einschränkt, dass der Ordner nur für den Benutzer zugänglich ist. Dieses Problem betrifft nur Anwendungen, die den Ordner-Manager verwenden. Dieses Problem betrifft keine Systeme vor Mac OS X 10.5. Wir danken Graham Perrin von CENTRIM, University of Brighton für die Meldung dieses Problems.

  • FSEvents

    CVE-ID: CVE-2009-0015

    Verfügbar für: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Durch die Verwendung des FSEvents-Frameworks kann ein lokaler Benutzer möglicherweise Dateisystemaktivitäten sehen, die sonst nicht verfügbar wären

    Beschreibung: Es gibt ein Problem bei der Verwaltung von Anmeldeinformationen in fseventsd. Durch die Verwendung des FSEvents-Frameworks kann ein lokaler Benutzer möglicherweise Dateisystemaktivitäten sehen, die sonst nicht verfügbar wären. Dazu gehören der Name eines Verzeichnisses, das der Benutzer sonst nicht sehen könnte, und die Feststellung von Aktivitäten in diesem Verzeichnis zu einem bestimmten Zeitpunkt. Dieses Update behebt das Problem durch eine verbesserte Überprüfung der Anmeldeinformationen in fseventsd. Dieses Problem betrifft keine Systeme vor Mac OS X v10.5. Wir danken Mark Dalrymple für die Meldung dieses Problems.

  • Network Time

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Die Konfiguration des Network Time-Dienstes wurde aktualisiert.

    Beschreibung: Als proaktive Sicherheitsmaßnahme ändert dieses Update die Standardkonfiguration für den Network Time-Dienst. Systemzeit- und Versionsinformationen werden in der Standardkonfiguration von ntpd nicht mehr verfügbar sein. Auf Mac OS X v10.4.11-Systemen wird die neue Konfiguration nach einem Neustart des Systems wirksam, wenn der Netzwerkzeitdienst aktiviert ist.

  • perl

    CVE-ID: CVE-2008-1927

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Die Verwendung regulärer Ausdrücke, die UTF-8-Zeichen enthalten, kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung von beliebigem Code führen

    Beschreibung: Bei der Behandlung bestimmter UTF-8-Zeichen in regulären Ausdrücken gibt es ein Speicherbeschädigungsproblem. Das Parsen von in böswilliger Absicht erstellten regulären Ausdrücken kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen. Dieses Update behebt das Problem, indem für reguläre Ausdrücke eine zusätzliche Überprüfung durchgeführt wird.

  • Printing

    CVE-ID: CVE-2009-0017

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Ein lokaler Benutzer kann Systemprivilegien erhalten

    Beschreibung: Es gibt ein Problem bei der Fehlerbehandlung in csregprinter, das zu einem Heap-Pufferüberlauf führen kann. Dies kann es einem lokalen Benutzer ermöglichen, Systemprivilegien zu erlangen. Dieses Update behebt das Problem durch eine verbesserte Fehlerverarbeitung. Wir danken Lars Haulin für die Meldung dieses Problems.

  • python

    CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Mehrere Schwachstellen in Python

    Beschreibung: Es existieren mehrere Schwachstellen in Python, von denen die schwerwiegendste zur Ausführung von beliebigem Code führen kann. Dieses Update behebt die Probleme durch Anwenden von Patches aus dem Python-Projekt.

  • Remote Apple Events

    CVE-ID: CVE-2009-0018

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Das Senden von Remote Apple Events kann zur Offenlegung vertraulicher Informationen führen

    Beschreibung: Es gibt ein nicht initialisiertes Pufferproblem im Remote Apple Events Server, das zur Offenlegung von Speicherinhalten für Netzwerkclients führen kann. Dieses Update behebt das Problem durch korrekte Speicherinitialisierung. Quelle: Apple.

  • Remote Apple Events

    CVE-ID: CVE-2009-0019

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Die Aktivierung von Remote Apple Events kann zu einer unerwarteten Beendigung der Anwendung oder zur Offenlegung vertraulicher Informationen führen.

    Beschreibung: Es gibt einen Out-of-Bounds-Speicherzugriff in Remote Apple Events. Die Aktivierung von Remote Apple Events kann zu einer unerwarteten Beendigung der Anwendung oder zur Offenlegung vertraulicher Informationen für Netzwerk-Clients führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Quelle: Apple.

  • Safari RSS

    CVE-ID: CVE-2009-0137

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Der Zugriff auf eine in böswilliger Absicht erstellte „feed:“-URL kann zur Ausführung von beliebigem Code führen

    Beschreibung: Es gibt mehrere Probleme bei der Validierung von Eingaben in Safari bei der Verarbeitung von „feed:“-URLs. Die Probleme ermöglichen die Ausführung von beliebigem JavaScript in der lokalen Sicherheitszone. Dieses Update behebt die Probleme durch verbesserte Handhabung von eingebettetem JavaScript in „feed:“-URLs. Wir danken Clint Ruoho von Laconic Security, Billy Rios von Microsoft und Brian Mastenbrook für die Meldung dieses Problems.

  • servermgrd

    CVE-ID: CVE-2009-0138

    Verfügbar für: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Entfernte Angreifer können möglicherweise ohne gültige Anmeldedaten auf Server Manager zugreifen

    Beschreibung: Ein Problem bei der Validierung von Authentifizierungsdaten in Server Manager könnte es einem Angreifer ermöglichen, die Systemkonfiguration zu ändern. Dieses Update behebt das Problem durch zusätzliche Validierung der Authentifizierungsdaten. Dieses Problem betrifft keine Systeme vor Mac OS X v10.5.

  • SMB

    CVE-ID: CVE-2009-0139

    Verfügbar für: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Die Verbindung zu einem in böswilliger Absicht erstellten SMB-Dateisystem kann zu einem unerwarteten Herunterfahren des Systems oder zur Ausführung von beliebigem Code mit Systemprivilegien führen

    Beschreibung: Ein Integer-Überlauf im SMB-Dateisystem kann zu einem Heap-Pufferüberlauf führen. Die Verbindung zu einem in böswilliger Absicht erstellten SMB-Dateisystem kann zu einem unerwarteten Herunterfahren des Systems oder zur Ausführung von beliebigem Code mit Systemprivilegien führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Dieses Problem betrifft keine Systeme vor Mac OS X v10.5.

  • SMB

    CVE-ID: CVE-2009-0140

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Die Verbindung zu einem in böswilligerAbsicht erstellten SMB-Dateiserver kann zu einem unerwarteten Herunterfahren des Systems führen

    Beschreibung: Bei der Handhabung von Dateisystemnamen durch das SMB-Dateisystem gibt es ein Problem mit der Speichererschöpfung. Die Verbindung zu einem in böswilliger Absicht erstellten SMB-Dateiserver kann zu einem unerwarteten Herunterfahren des Systems führen. Dieses Update behebt das Problem, indem es den vom Client für Dateisystemnamen zugewiesenen Speicherplatz begrenzt. Quelle: Apple.

  • SquirrelMail

    verfügbar.

    Available for: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Impact: Multiple vulnerabilities in SquirrelMail

    Description: SquirrelMail is updated to version 1.4.17 to address several vulnerabilities, the most serious of which is a cross-site scripting issue. Further information is available via the SquirrelMail web site at http://www.SquirrelMail.org/

  • X11

    CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Mehrere Schwachstellen im X11-Server

    Beschreibung: Es gibt mehrere Schwachstellen im X11-Server. Die schwerwiegendste davon kann zur Ausführung von beliebigem Code mit den Rechten des Benutzers führen, der den X11-Server betreibt, wenn sich der Angreifer am X11-Server authentifizieren kann. Dieses Update behebt die Probleme durch Anwendung der aktualisierten X.Org-Patches. Weitere Informationen sind auf der X.Org-Website verfügbar unter http://www.x.org/wiki/Development/Security

  • X11

    CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Auswirkung: Mehrere Schwachstellen in FreeType v2.1.4

    Beschreibung: Es gibt mehrere Schwachstellen in FreeType v2.1.4, von denen die schwerwiegendste zur Ausführung von beliebigem Code führen kann, wenn eine in böswilliger Absicht erstellte Schriftart verarbeitet wird. Dieses Update behebt die Probleme, indem es die Sicherheitskorrekturen aus Version 2.3.6 von FreeType einbezieht. Weitere Informationen sind auf der FreeType-Website verfügbar unter http://www.freetype.org/ Auf Systemen mit Mac OS X v10.5.6 sind die Probleme bereits behoben.

  • X11

    CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Auswirkung: Mehrere Schwachstellen in LibX11

    Beschreibung: Es gibt mehrere Schwachstellen in LibX11, von denen die schwerwiegendste zur Ausführung von beliebigem Code führen kann, wenn eine in böswilliger Absicht erstellte Schriftart verarbeitet wird. Dieses Update behebt die Probleme durch Anwendung der aktualisierten X.Org-Patches. Weitere Informationen sind auf der X.Org-Website verfügbar unter http://www.x.org/wiki/Development/Security Diese Probleme betreffen keine Systeme mit Mac OS X v10.5 oder neuer.

  • XTerm

    CVE-ID: CVE-2009-0141

    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Auswirkung: Ein lokaler Benutzer kann Informationen direkt an den Xterm eines anderen Benutzers senden

    Beschreibung: Es gibt ein Berechtigungsproblem in Xterm. In Verbindung mit luit erstellt Xterm tty-Geräte, die für jeden zugänglich sind. Dieses Update behebt das Problem, indem Xterm die Berechtigungen so einschränkt, dass tty-Geräte nur für den Benutzer zugänglich sind.

Wichtig: Der Hinweis auf Websites und Produkte von Drittanbietern erfolgt ausschließlich zu Informationszwecken und stellt weder eine Billigung noch eine Empfehlung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Informationen und Produkten auf Websites von Drittanbietern. Apple stellt diese Informationen seinen Kunden lediglich als Serviceleistung zur Verfügung. Apple hat die auf diesen Websites gefundenen Informationen nicht geprüft und übernimmt keine Gewähr für ihre Genauigkeit oder Zuverlässigkeit. Die Verwendung von Informationen oder Produkten im Internet birgt Risiken, und Apple übernimmt diesbezüglich keine Verantwortung. Wir bitten um Verständnis, dass Websites von Drittanbietern von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Website hat. Weitere Informationen sind beim Anbieter erhältlich.

Veröffentlichungsdatum: