Informationen zum Sicherheitsupdate 2014-005

Dieses Dokument beschreibt den Sicherheitsinhalt des Sicherheitsupdates 2014-005.

Diese Aktualisierung kann über die Option „Softwareaktualisierung“ oder von der Apple Supportwebsite geladen und installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.

Sicherheitsupdate 2014-005

• Secure Transport

  Verfügbar für: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

  Auswirkung: Ein Angreifer ist möglicherweise in der Lage, durch SSL geschützte Daten zu entschlüsseln.

  Beschreibung: Es gibt bekannte Angriffe auf die Vertraulichkeit von SSL 3.0, bei denen eine Cipher Suite ein Blockchiffre im CBC-Modus verwendet. Ein Angreifer könnte die Verwendung von SSL 3.0 erzwingen, auch dann, wenn der Server eine bessere TLS-Version unterstützt, indem Verbindungsversuche mit TLS 1.0 und höher blockiert werden. Dieses Problem wurde behoben, indem CBC Cipher Suite deaktiviert wird, wenn TLS-Verbindungsversuche fehlschlagen.

  CVE-ID

  CVE-2014-3566: Bodo Moeller, Thai Duong und Krzysztof Kotowicz vom Google-Sicherheitsteam

Hinweis: Das Sicherheitsupdate 2014-005 enthält den Sicherheitsinhalt von OS X Bash Update 1.0