Informationen zum Sicherheitsupdate 2009-004

Dieses Dokument beschreibt den Sicherheitsinhalt des Sicherheitsupdates 2009-004.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.

Sicherheitsupdate 2009-004

• BIND

  CVE-ID: CVE-2009-0696

  Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

  Auswirkung: Ein entfernter Angreifer kann möglicherweise den DNS-Server dazu bringen, unerwartet zu beenden

  Beschreibung: Ein Logikfehler bei der Verarbeitung von dynamischen DNS-Update-Nachrichten kann dazu führen, dass ein Assertionsfehler ausgelöst wird. Durch das Senden einer in böswilliger Absicht erstellten Aktualisierungsnachricht an den BIND-DNS-Server kann ein entfernter Angreifer den BIND-Dienst unterbrechen. Das Problem betrifft Server, die Master für eine oder mehrere Zonen sind, unabhängig davon, ob sie Updates akzeptieren. BIND ist in Mac OS X und Mac OS X Server enthalten, aber standardmäßig nicht aktiviert. Diese Aktualisierung behebt das Problem, indem Nachrichten mit einem Datensatz des Typs „ANY“, bei denen zuvor ein Assertionsfehler ausgelöst worden wäre, ordnungsgemäß zurückgewiesen werden.