Informationen über das Security Update 2006-003

In diesem Dokument wird das Security Update 2006-003 beschrieben, das über die Option Softwareaktualisierung in den Systemeinstellungen oder über Apple Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple-Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE IDs verwendet.

Informationen zu weiteren Sicherheitsaktualisierungen finden Sie unter "Apple Security Updates".

Security Update 2006-003

  • AppKit

    CVE-ID: CVE-2006-1439

    Verfügbar für: Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Zeichen, die in ein sicheres Textfeld eingegeben werden, können von anderen Programmen in der gleichen Fenster-Sitzung gelesen werden.

    Beschreibung: Unter bestimmten Umständen kann es beim Wechsel zwischen Texteingabefeldern dazu kommen, dass NSSecureTextField die sichere Ereigniseingabe nicht erneut aktiviert. Dadurch kann es anderen Programmen in der gleichen Fenster-Sitzung möglich sein, einige der Eingabezeichen und Tastaturereignisse zu sehen. Mit diesem Update wird das Problem gelöst, indem sichergestellt wird, dass die sichere Ereigniseingabe korrekt aktiviert ist. Das Problem hat keine Auswirkungen auf Systeme, die älter sind als Mac OS X 10.4.

  • AppKit, ImageIO

    CVE-ID: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Die Anzeige eines in böser Absicht hergestellten GIF- oder TIFF-Bilds kann zur Ausführung von willkürlichem Code führen.

    Beschreibung: Die Verarbeitung deformierter GIF- oder TIFF-Bilder kann beim Parsen eines in böser Absicht hergestellten Bildes möglicherweise zur Ausführung von willkürlichem Code führen. Hiervon sind Programme betroffen, die zum Lesen von Bildern das ImageIO Framework (Mac OS X 10.4 Tiger) oder AppKit (Mac OS X v10.3 Panther) verwenden. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung von GIF- und TIFF-Bildern behoben.

  • BOM

    CVE-ID: CVE-2006-1985

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Das Entpacken eines Archivs kann zur Ausführung von willkürlichem Code führen.

    Beschreibung: Durch gezielte Erstellung eines Archivs (beispielsweise eines ZIP-Archivs), das lange Pfadnamen enthält, kann ein Angreifer einen Heap-Pufferüberlauf in BOM auslösen. Dies kann zur Ausführung von willkürlichem Code führen. BOM wird zur Handhabung von Archiven im Finder und in anderen Programmen verwendet. Mit diesem Update wird das Problem durch korrekte Behandlung der Grenzbedingungen behoben.

  • BOM

    CVE-ID: CVE-2006-1440

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Das Entpacken eines in böser Absicht erstellen Archivs kann dazu führen, dass Dateien willkürlich erstellt oder überschrieben werden.

    Beschreibung: Ein Fehler bei der Verarbeitung von Directory Traversal-Symbollinks, die in Archiven vorgefunden werden, kann dazu führen, dass BOM Dateien an willkürlichen Orten erstellt oder überschreibt, die für den Benutzer, der das Archiv expandiert, zugänglich sind. BOM handhabt Archive für den Finder und andere Programme. Mit diesem Update wird das Problem dadurch behoben, dass die aus einem Archiv expandierten Dateien nicht außerhalb des Zielverzeichnisses abgelegt werden.

  • CFNetwork

    CVE-ID: CVE-2006-1441

    Verfügbar für: Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Der Besuch von in böser Absicht erstellten Web-Sites kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: Ein Ganzzahlüberlauf bei der Handhabung der Chunked Transfer-Codierung kann möglicherweise zur Ausführung von willkürlichem Code führen. CFNetwork wird von Safari und anderen Programmen verwendet. Mit diesem Update wird das Problem durch die Durchführung einer zusätzlichen Validierung behoben. Das Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.4 sind.

  • ClamAV

    CVE-ID: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630

    Verfügbar für: Mac OS X Server 10.4.6

    Symptom: Die Bearbeitung von in böser Absicht erstellten E-Mail-Nachrichten mit ClamAV kann die Ausführung von willkürlichem Code zur Folge haben.

    Beschreibung: Die neueste Version der Virus-Scan-Software "ClamAV" wurde aktualisiert und enthält Sicherheitskorrekturen. ClamAV wurde bei Mac OS X Server 10.4 zum Scannen von E-Mails eingeführt. Schlimmstenfalls können diese Vorfälle zur Ausführung von willkürlichem Code mit den Privilegien von ClamAV führen. Weitere Informationen finden Sie auf der Web-Site des Projekts unter http://www.clamav.net.

  • CoreFoundation

    CVE-ID: CVE-2006-1442

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Die Registrierung eines nicht vertrauenswürdigen Bundles kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: Unter bestimmten Umständen werden Bundles implizit von Programmen oder vom System registriert. Eine Funktion der Bundle-API lässt bei der Registrierung eines Bundles dynamische Bibliotheken laden und ausführen, selbst wenn das Client-Programm dies nicht ausdrücklich anfordert. Daraus folgt, dass willkürlicher Code von einem nicht vertrauenswürdigen Bundle ohne ausdrückliche Interaktion mit dem Benutzer ausgeführt werden kann. Mit diesem Update wird das Problem behoben, indem Bibliotheken vom Bundle nur zur geeigneten Zeit geladen und ausgeführt werden.

  • CoreFoundation

    CVE-ID: CVE-2006-1443

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Die Konvertierung von Zeichenketten in die Dateisystemrepräsentation kann zur Ausführung von willkürlichem Code führen.

    Beschreibung: Ein Ganzzahlunterlauf während der Verarbeitung einer Grenzbedingung in CFStringGetFileSystemRepresentation kann zur Ausführung von willkürlichem Code führen. Programme, die diese API oder eine der verwandten APIs verwenden, z. B. getFileSystemRepresentation:maxLength:withPath: von NSFileManager, können dieses Problem auslösen und so die Ausführung willkürlichen Codes verursachen. Mit diesem Update wird das Problem durch korrekte Behandlung der Grenzbedingungen behoben.

  • CoreGraphics

    CVE-ID: CVE-2006-1444

    Verfügbar für: Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Zeichen, die in ein sicheres Textfeld eingegeben werden, können von anderen Programmen in der gleichen Fenster-Sitzung gelesen werden.

    Beschreibung: Quartz Event Services bietet Programme mit der Fähigkeit, Benutzereingaben der unteren Ebene zu beobachten und zu ändern. Normalerweise können Programme Ereignisse nicht abfangen, wenn die sichere Ereigniseingabe aktiviert ist. Wenn jedoch die Option "Zugriff für Hilfsgeräte aktivieren" aktiviert ist, kann Quartz Event Services dazu verwendet werden, Ereignisse selbst bei aktivierter sicherer Ereigniseingabe abzufangen. Mit diesem Update wird das Problem gelöst, indem Ereignisse gefiltert werden, wenn die sichere Ereigniseingabe aktiviert ist. Dieses Problem hat keine Auswirkung auf Systeme, die älter sind als Mac OS X 10.4. Dank an Damien Bobillot, der dieses Problem gemeldet hat.

  • Finder

    CVE-ID: CVE-2006-1448

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Der Start eines Internet Location-Elements kann zur Ausführung von willkürlichem Code führen.

    Beschreibung: Internet Location-Elemente sind einfache URL-Container, die sich auf "http://"-, "ftp://"- und "Datei://"-URLs sowie auf einige andere URL-Schemata beziehen können. Diese verschiedenen Typen von Internet Location-Elementen unterscheiden sich äußerlich und sind so konzipiert, dass es sicher ist, sie ausdrücklich zu starten. Das Schema der URL kann sich jedoch vom Internet Location-Typ unterscheiden. Es kann einem Angreifer daher möglich sein, einen Benutzer zum Starten eines vermeintlich harmlosen Elements zu verleiten (beispielsweise eine Web Internet Location, "http://"), jedoch mit dem Ergebnis, dass in Wirklichkeit ein anderes URL-Schema verwendet wird. Unter gewissen Umständen kann dies zur Ausführung von willkürlichem Code führen. Mit diesem Update wird das Problem behoben, indem das URL-Schema basierend auf dem Internet Location-Typ eingeschränkt wird.

  • FTPServer

    CVE-ID: CVE-2006-1445

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: FTP-Operationen durch identifizierte FTP-Benutzer können zur Ausführung von willkürlichem Code führen.

    Beschreibung: Mehrere Probleme bei der Handhabung von FTP-Server-Pfadnamen könnten zu einem Pufferüberlauf führen. Ein in böser Absicht authentifizierter Benutzer könnte in der Lage sein, diesen Überlauf auszulösen, der zur willkürlichen Ausführung von Code mit den Privilegien des FTP-Servers führt. Mit diesem Update wird das Problem durch korrekte Behandlung der Grenzbedingungen behoben.

  • Flash Player

    CVE-ID: CVE-2005-2628, CVE-2006-0024

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Die Wiedergabe von Flash-Inhalten kann zur Ausführung von willkürlichem Code führen.

    Beschreibung: Adobe Flash Player enthält kritische Schwachstellen, die zur Ausführung von willkürlichem Code führen können, wenn in bestimmter Weise hergestellte Dateien geladen werden. Weitere Informationen finden Sie auf der Website von Adobe unter: http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. In diesem Update wird das Problem durch Bereitstellung der Flash Player-Version 8.0.24.0 behoben.

  • ImageIO

    CVE-ID: CVE-2006-1552

    Verfügbar für: Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Die Anzeige eines in böser Absicht hergestellten JPEG-Bilds kann zur Ausführung von willkürlichem Code führen.

    Beschreibung: Ein Ganzzahlüberlauf bei der Verarbeitung von JPEG-Metadaten kann zu einem Heap-Pufferüberlauf führen. Durch die sorgfältige Erstellung eines Bildes mit schlecht geformten JPEG-Metadaten könnte ein Angreifer die Ausführung von willkürlichem Code veranlassen, wenn das Bild angesehen wird. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Bildvalidierung behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.4 sind. Dank an Brent Simmons von NewsGator Technologies, Inc., der dieses Problem gemeldet hat.

  • Keychain

    CVE-ID: CVE-2006-1446

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Ein Programm kann möglicherweise Elemente aus dem Schlüsselbund verwenden, obwohl der Schlüsselbund geschützt ist.

    Beschreibung: Wenn ein Schlüsselbund geschützt ist, können Programme nicht auf die Elemente zugreifen, die der Schlüsselbund enthält. Dazu muss der Schutz zunächst entfernt werden. Ein Programm jedoch, das vor der Anwendung des Schutzes eine Referenz zu einem Schlüsselbund-Element erhalten hat, kann dieses Schlüsselbund-Element unter gewissen Umständen weiterverwenden, und zwar unabhängig davon, ob der Schlüsselbund geschützt ist oder nicht. Mit diesem Update wird das Problem gelöst, indem Anfragen zur Verwendung von Schlüsselbund-Elementen abgewiesen werden, wenn der Schlüsselbund geschützt ist. Dank an Tobias Hahn von der HU Berlin, der dieses Problem gemeldet hat.

  • LaunchServices

    CVE-ID: CVE-2006-1447

    Verfügbar für: Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Das Anzeigen einer in böser Absicht bereitgestellten Website kann zur Ausführung von willkürlichem Code führen.

    Beschreibung: Lange Suffixe an Dateinamen können möglicherweise verhindern, dass die Download-Validierung das Programm korrekt bestimmt, mit dem ein Element geöffnet werden kann. Daher kann ein Angreifer Download Validation möglicherweise umgehen und Safari veranlassen, unsichere Inhalte automatisch zu öffnen, wenn die Option "'Sichere' Dateien nach dem Laden öffnen" aktiviert und bestimmte Programme nicht installiert sind. Mit diesem Update wird das Problem durch verbesserte Überprüfung des Dateinamenanhangs behoben. Das Problem hat keine Auswirkungen auf Systeme, die älter sind als Mac OS X 10.4.

  • libcurl

    CVE-ID: CVE-2005-4077

    Verfügbar für: Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Die Verarbeitung von URLs in libcurl könnten zur Ausführung von willkürlichem Code führen.

    Beschreibung: Die Open-Source-HTTP-Bibliothek "libcurl" enthält Pufferüberläufe bei der URL-Verarbeitung. Programme, die curl für die URL-Handhabung verwenden, können das Problem auslösen und zur Ausführung von willkürlichem Code führen. Mit diesem Update wird das Problem behoben, indem libcurl-Version 7.15.1 bereitgestellt wird. Dieses Problem hat keine Auswirkung auf Systeme, die älter sind als Mac OS X 10.4.

  • Mail

    CVE-ID: CVE-2006-1449

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Das Anzeigen einer in böser Absicht bereitgestellten E-Mail-Nachricht kann zur Ausführung von willkürlichem Code führen.

    Beschreibung: Durch die Bearbeitung einer gezielt erstellten E-Mail-Nachricht mit MacMIME-verkapselten Anhängen kann ein Angreifer möglicherweise einen Ganzzahlüberlauf auslösen. Dies kann zur Ausführung von willkürlichem Code mit den Privilegien des Benutzers führen, der Mail ausführt. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Nachrichtenvalidierung behoben.

  • Mail

    CVE-ID: CVE-2006-1450

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Das Anzeigen einer in böser Absicht bereitgestellten E-Mail-Nachricht kann zur Ausführung von willkürlichem Code führen.

    Beschreibung: Die Verarbeitung ungültiger Farbinformationen in E-Mail-Nachrichten mit erweitertem Text kann zur Zuweisung und Initialisierung von willkürlichen Klassen führen. Dies kann zur Ausführung von willkürlichem Code mit den Privilegien des Benutzers führen, der Mail ausführt. Mit diesem Update wird das Problem behoben, indem schlecht geformte, erweiterte Textdaten korrekt gehandhabt werden.

  • MySQL Manager

    CVE-ID: CVE-2006-1451

    Verfügbar für: Mac OS X Server 10.4.6

    Symptom: Auf die MySQL-Datenbank kann mit leerem Kennwort zugegriffen werden.

    Beschreibung: Während der Ersteinrichtung eines MySQL-Datenbank-Servers unter Verwendung von MySQL Manager kann ein neues Root-Kennwort für MySQL angegeben werden. Dieses Kennwort wird jedoch nicht verwendet. Daraus folgt, dass das MySQL-Root-Kennwort leer bleibt. Ein lokaler Benutzer kann dann möglicherweise Zugriff auf die MySQL-Datenbank mit vollen Privilegien erhalten. Mit diesem Update wird das Problem behoben, indem sichergestellt wird, dass das eingegebene Kennwort gesichert wird. Dieses Problem hat keine Auswirkung auf Systeme, die älter sind als Mac OS X 10.4. Dank an Ben Low von der University of New South Wales, der dieses Problem gemeldet hat.

  • Vorschau

    CVE-ID: CVE-2006-1452

    Verfügbar für: Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Das Navigieren durch eine in böser Absicht hergestellte Verzeichnishierarchie kann zur Ausführung von willkürlichem Code führen.

    Beschreibung: Beim Navigieren durch sehr tiefe Verzeichnishierarchien in der Vorschau kann ein Stapelpufferüberlauf ausgelöst werden. Durch die gezielte Erstellung einer solchen Verzeichnishierarchie kann ein Angreifer möglicherweise die Ausführung von willkürlichem Code verursachen, wenn die Verzeichnisse in der Vorschau geöffnet werden. Das Problem hat keine Auswirkungen auf Systeme, die älter sind als Mac OS X 10.4.

  • QuickDraw

    CVE-ID: CVE-2006-1453, CVE-2006-1454

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Die Anzeige eines in böser Absicht hergestellten PICT-Bilds kann zur Ausführung von willkürlichem Code führen.

    Beschreibung: Zwei Probleme betreffen QuickDraw beim Verarbeiten von PICT-Bildern. Fehlerhaft geformte Schriftinformationen können zu einem Stapelpufferüberlauf führen, und fehlerhaft geformte Bilddaten können einen Heap-Pufferüberlauf auslösen. Durch die gezielte Herstellung eines schädlichen PICT-Bilds könnte ein Angreifer die Ausführung von willkürlichem Code veranlassen, wenn das Bild angesehen wird. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung von PICT-Bildern behoben. Wir danken Mike Price von McAfee AVERT Labs für die Meldung dieses Problems.

  • QuickTime-Streaming-Server

    CVE-ID: CVE-2006-1455

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.4.6

    Symptom: Ein deformierter QuickTime-Film kann dazu führen, dass der QuickTime Streaming-Server nicht mehr reagiert.

    Beschreibung: Ein QuickTime Film mit einer fehlenden Spur kann eine Nullzeiger-Dereferenz verursachen und so den Server-Prozess zum Absturz bringen. Dadurch werden die Verbindungen des aktiven Clients unterbrochen. Der Server wird jedoch automatisch neu gestartet. Mit diesem Update wird das Problem gelöst, indem ein Fehler produziert wird, wenn schlecht geformte Filme erkannt werden.

  • QuickTime-Streaming-Server

    CVE-ID: CVE-2006-1456

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.4.6

    Symptom: In böser Absicht hergestellte RTSP-Anfragen können zu Systemabstürzen oder zur Ausführung von willkürlichem Code führen.

    Beschreibung: Durch die gezielte Erstellung einer RTSP-Anfrage kann ein Angreifer möglicherweise während der Protokollierung einer Nachricht einen Pufferüberlauf auslösen. Dies kann zur Ausführung von willkürlichem Code mit den Privilegien des QuickTime Streaming Servers führen. Mit diesem Update wird das Problem durch korrekte Behandlung der Grenzbedingungen behoben. Dank an das Forschungsteam von Mu Security, das dieses Problem gemeldet hat.

  • Ruby

    CVE-ID: CVE-2005-2337

    Verfügbar für: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Safe Levels-Beschränkungen in Ruby können umgangen werden.

    Beschreibung: Die Skriptsprache "Ruby" enthält einen Sicherheitsebenenmechanismus, der "Safe Levels" genannt wird und zur Einschränkung bestimmter Vorgänge verwendet wird. Dieser Mechanismus wird äußerst häufig verwendet, wenn privilegierte Ruby-Programme oder Ruby-Netzwerkprogramme ausgeführt werden. Unter bestimmten Umständen kann ein Angreifer möglicherweise die Einschränkungen in solchen Programmen umgehen. Programme, die diesen Mechanismus nicht verwenden, sind nicht betroffen. Mit diesem Update wird das Problem behoben, indem sichergestellt wird, dass der Safe Levels-Mechanismus nicht umgangen werden kann.

  • Safari

    CVE-ID: CVE-2006-1457

    Verfügbar für: Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Symptom: Der Besuch von in böser Absicht erstellten Websites kann zu Dateimanipulationen oder zur Ausführung von willkürlichem Code führen.

    Beschreibung: Wenn die Option "'Sichere' Dateien nach dem Laden öffnen" in Safari aktiviert ist, werden Archive automatisch entpackt. Falls das Archiv einen symbolischen Link enthält, wird der Ziel-symlink möglicherweise auf den Schreibtisch des Benutzers bewegt und ausgeführt. Mit diesem Update wird das Problem behoben, indem geladene symbolische Links nicht aufgelöst werden. Das Problem hat keine Auswirkungen auf Systeme, die älter sind als Mac OS X 10.4.

Veröffentlichungsdatum: