Informationen zum Sicherheitsinhalt von OS X Mavericks 10.9.4 und zum Sicherheitsupdate 2014-003

Dieses Dokument beschreibt den Sicherheitsinhalt von OS X Mavericks 10.9.4 und des Sicherheitsupdates 2014-003.

Diese Aktualisierung kann über die Option "Softwareaktualisierung" oder von der Apple-Supportwebsite geladen und installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

Hinweis: OS X Mavericks 10.9.4 beinhaltet den Sicherheitsinhalt von Safari 7.0.5.

OS X Mavericks 10.9.4 und Sicherheitsupdate 2014-003

  • Richtlinie für vertrauenswürdige Zertifikate

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Aktualisierung der Richtlinie für vertrauenswürdige Zertifikate

    Beschreibung: Die Richtlinie für vertrauenswürdige Zertifikate wurde aktualisiert. Eine vollständige Liste der Zertifikate kann unter http://support.apple.com/kb/HT6005?viewlocale=de_DE eingesehen werden.

  • copyfile

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Das Öffnen einer in böser Absicht erstellten Zip-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von AppleDouble-Dateien in Zip-Archiven trat ein grenzüberschreitendes Byte-Austauschproblem auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1370: Chaitanya (SegFault) in Zusammenarbeit mit iDefense VCP

  • curl

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein entfernter Angreifer hat möglicherweise Zugang zur Sitzung eines anderen Nutzers

    Beschreibung: Wenn mehr als eine Authentifizierungsmethode aktiviert war, verwendete cURL NTLM-Verbindungen wieder, wodurch Angreifern Zugang zur Sitzung eines anderen Nutzers ermöglicht wurde.

    CVE-ID

    CVE-2014-0015

  • Dock

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein in der Sandbox ausgeführtes Programm könnte in der Lage sein, Sandbox-Einschränkungen zu umgehen

    Beschreibung: Bei der Verarbeitung von Programmnachrichten im Dock bestand ein Problem mit nicht überprüften Array-Indizes. Eine in böser Absicht erstellte Nachricht könnte zur Dereferenzierung eines ungültigen Funktionszeigers führen, was zu eine unerwarteten Programmabbruch oder Ausführung willkürlichen Codes führen kann.

    CVE-ID

    CVE-2014-1371: Ein anonymer Forscher in Zusammenarbeit mit der HP Zero Day Initiative

  • Grafiktreiber

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein lokaler Benutzer kann Kernel-Speicher lesen, die zur Umgehung der Kernel-ASLR (Address Space Layout Randomization) verwendet werden können

    Beschreibung: Bei der Verarbeitung eines Systemaufrufs trat ein grenzüberschreitendes Ausleseproblem auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1372: Ian Beer von Google Project Zero

  • iBooks Commerce

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein Angreifer mit Zugriff auf ein System ist möglicherweise in der Lage, Apple-ID-Anmeldedaten zu ermitteln

    Beschreibung: Bei der Verarbeitung von iBooks-Protokollen bestand ein Problem. Apple-ID-Anmeldeinformationen werden möglicherweise im iBooks-Protokoll protokolliert, wo sie für andere Nutzer des Systems sichtbar sein könnten. Dieses Problem wurde dadurch behoben, dass das Protokollieren von Anmeldeinformationen nun nicht mehr zugelassen wird.

    CVE-ID

    CVE-2014-1317: Steve Dunham

  • Intel Graphics Driver

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein in böser Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung eines OpenGL API-Aufrufs trat ein Problem bei der Überprüfung auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1373: Ian Beer von Google Project Zero

  • Intel Graphics Driver

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein lokaler Benutzer kann einen Kernel-Zeiger lesen, der zur Umgehung der Kernel-ASLR (Address Space Layout Randomization) verwendet werden kann

    Beschreibung: Ein Kernel-Zeiger, der in einem IOKit-Objekt gespeichert ist, könnte aus dem Userland abgerufen werden. Dieses Problem wurde durch das Entfernen des Zeigers aus dem Objekt behoben.

    CVE-ID

    CVE-2014-1375

  • Intel Compute

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein in böser Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung eines OpenGL-API-Aufrufs trat ein Problem bei der Überprüfung auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1376: Ian Beer von Google Project Zero

  • IOAcceleratorFamily

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein in böser Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In IOAcceleratorFamily bestand ein Problem mit der Indizierung von Arrays. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1377: Ian Beer von Google Project Zero

  • IOGraphicsFamily

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein lokaler Benutzer kann einen Kernel-Zeiger lesen, der zur Umgehung der Kernel-ASLR (Address Space Layout Randomization) verwendet werden kann

    Beschreibung: Ein Kernel-Zeiger, der in einem IOKit-Objekt gespeichert ist, könnte aus dem Userland abgerufen werden. Das Problem wurde durch Verwendung einer eindeutigen ID anstelle eines Zeigers gelöst.

    CVE-ID

    CVE-2014-1378

  • IOReporting

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein lokaler Benutzer könnte einen unerwarteten Systemneustart verursachen

    Beschreibung: Bei der Verarbeitung von IOKit API-Argumenten existierte eine NULL-Zeiger-Dereferenz. Dieses Problem wurde durch eine zusätzliche Überprüfung von IOKit API-Argumenten behoben.

    CVE-ID

    CVE-2014-1355: cunzhang von Adlab von Venustech

  • launchd

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein in böser Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In launchd trat ein Ganzzahl-Unterlauf auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1359: Ian Beer von Google Project Zero

  • launchd

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein in böser Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von IPC-Nachrichten in launchd trat ein Stapelpufferüberlauf auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1356: Ian Beer von Google Project Zero

  • launchd

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein in böser Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von Protokollnachrichten in launchd trat ein Stapelpufferüberlauf auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1357: Ian Beer von Google Project Zero

  • launchd

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In launchd trat ein Ganzzahl-Überlauf auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1358: Ian Beer von Google Project Zero

  • Grafiktreiber

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein in böser Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In Kernel-Grafiktreibern traten mehrere Probleme mit NULL-Rückverweisen auf. Eine in böser Absicht erstellte ausführbare 32-Bit-Datei konnte erhöhte Benutzerrechte erlangen.

    CVE-ID

    CVE-2014-1379: Ian Beer von Google Project Zero

  • Sicherheit – Schlüsselbund

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein Angreifer ist möglicherweise trotz Bildschirmsperre in der Lage, Daten in Fenstern einzugeben

    Beschreibung: Unter speziellen Umständen kann es vorkommen, dass die Bildschirmsperre die Eingabe von Tastatureingaben nicht unterbindet. Dadurch könnte ein Angreifer in der Lage gewesen sein, auch bei aktiver Bildschirmsperre Daten in Fenstern einzugeben. Dieses Problem wurde durch eine verbesserte Tastaturüberwachungsverwaltung behoben.

    CVE-ID

    CVE-2014-1380: Ben Langfeld von Mojo Lingo LLC

  • Sicherheit – Secure Transport

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein entfernter Angreifer könnte auf zwei Byte Speicher Zugriff haben

    Beschreibung: Bei der Verarbeitung von DTLS-Nachrichten in einer TLS-Verbindung traten Probleme aufgrund eines nicht initialisierten Speicherzugriffs auf. Dieses Problem wurde behoben, indem dafür gesorgt wurde, dass der Empfang von DTLS-Nachrichten nur in einer DTLS-Verbindung möglich ist.

    CVE-ID

    CVE-2014-1361: Thijs Alkemade von The Adium Project

  • Thunderbolt

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.3

    Auswirkung: Ein in böser Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von IOThunderBoltController API-Aufrufen trat ein Problem mit grenzüberschreitendem Speicherzugriff auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1381: Catherine alias winocm

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: