Informationen zum Sicherheitsinhalt von OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 und Sicherheitsupdate 2012-004

Hier erhalten Sie Informationen zum Sicherheitsinhalt von OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 und Sicherheitsupdate 2012-004.

Dieses Dokument beschreibt den sicherheitsrelevanten Inhalt von OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 und des Sicherheitsupdates 2012-004.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates".

OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 und Sicherheitsupdate 2012-004

Hinweis: OS X Mountain Lion 10.8.2 enthält Safari 6.0.1. Weitere Details hierzu finden Sie unter Informationen zum Sicherheitsinhalt von Safari 6.0.1.

  • Apache

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Mehrere Schwachstellen in Apache

    Beschreibung: Apache wird auf Version 2.2.22 aktualisiert, um mehrere Schwachstellen zu beheben, die im schlimmsten Fall zu einem Denial-of-Service führen können. Weitere Informationen finden Sie auf der Apache-Website unter http://httpd.apache.org/. Das Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Verfügbar für: OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service in Systemen auslösen, die zur Ausführung von BIND als DNS-Name-Server konfiguriert sind

    Beschreibung: Bei der Verarbeitung von DNS-Einträgen bestand ein Problem mit einer erreichbaren Aussage (reachable assertion). Dieses Problem wurde durch ein Update auf BIND 9.7.6-P1 behoben. Das Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2011-4313

  • BIND

    Verfügbar für: OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4, OS X Mountain Lion 10.8 bis 10.8.1

    Auswirkung: Ein entfernter Angreifer kann in Systemen, die zur Ausführung von BIND als DNS-Name-Server konfiguriert sind, einen Denial-of-Service auslösen, Daten verändern oder sensible Daten abfragen.

    Beschreibung: Bei der Verarbeitung von DNS-Einträgen bestand ein Problem mit der Speicherverwaltung. Dieses Problem wurde durch ein Update auf BIND 9.7.6-P1 auf OS X Lion-Systemen und auf BIND 9.8.3-P1 auf OS X Mountain Lion-Systemen behoben.

    CVE-ID

    CVE-2012-1667

  • CoreText

    Verfügbar für: OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Programme, die CoreText verwenden, können anfällig für die Ausführung willkürlichen Codes oder einen unerwarteten Programmabbruch sein

    Beschreibung: Bei der Verarbeitung von Textglyphen kam es zu einem Problem mit der Abgrenzungsüberprüfung, das zu Lese- und Schreiboperationen außerhalb der Speichergrenzen führen konnte. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Das Problem betrifft keine Systeme, auf denen Mac OS X 10.6 oder OS X Mountain Lion ausgeführt wird.

    CVE-ID

    CVE-2012-3716: Jesse Ruderman von der Mozilla Corporation

  • Datensicherheit

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4, OS X Mountain Lion 10.8 und 10.8.1

    Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann Berechtigungsnachweise eines Benutzers oder andere sensible Daten abfangen

    Beschreibung: TrustWave, eine vertrauenswürdige Root CA, hat ein Sub-CA-Zertifikat von einem ihrer Vertrauensanker ausgegeben und wieder zurückgezogen. Diese Sub-CA ermöglichte das Abfangen der mit TLS (Transport Layer Security) gesicherten Kommunikation. Dieses Update fügt das betreffende Sub-CA-Zertifikat zur OS X-Liste der nicht vertrauenswürdigen Zertifikate hinzu.

  • DirectoryService

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Wenn der DirectoryService-Proxy verwendet wird, könnte ein entfernter Angreifer einen Denial-of-Service oder die Ausführung willkürlichen Codes verursachen

    Beschreibung: Der DirectoryService-Proxy verursachte einen Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Das Problem betrifft keine Systeme mit OS X Lion oder Mountain Lion.

    CVE-ID

    CVE-2012-0650: aazubel in Zusammenarbeit mit der HP Zero Day Initiative

  • ImageIO

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Das Verarbeiten eines in böser Absicht erstellten PNG-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von PNG-Bildern in libpng traten mehrere Speicherfehler auf. Dieses Problem wurde durch eine verbesserte Validierung von PNG-Bildern behoben. Diese Probleme betreffen keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Das Anzeigen eines in böser Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von TIFF-Bildern in libTIFF konnte es zu einem Stapelpufferüberlauf kommen. Dieses Problem wurde durch eine verbesserte Verarbeitung von TIFF-Bildern behoben. Das Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2012-1173: Alexander Gavrun in Zusammenarbeit mit der HP Zero Day Initiative

  • Installationsprogramm

    Verfügbar für: OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Entfernte Administratoren und Personen mit physischem Zugriff auf das System können Accountinformationen abrufen

    Beschreibung: Die Verbesserung für CVE-2012-0652 in OS X Lion 10.7.4 verhinderte die Aufzeichnung von Benutzerpasswörtern im Systemprotokoll, aber entfernte nicht die alten Einträge. Dieses Problem wurde durch Löschen der Protokolldateien behoben, in denen Passwörter vorhanden waren. Das Problem betrifft keine Systeme, auf denen Mac OS X 10.6 oder OS X Mountain Lion ausgeführt wird.

    CVE-ID

    CVE-2012-0652

  • Internationale Komponenten für Unicode

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Programme, die ICU verwenden, können anfällig für die Ausführung willkürlichen Codes oder einen unerwarteten Programmabbruch sein

    Beschreibung: Bei der Verarbeitung von lokalen ICU-IDs konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Das Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2011-4599

  • Kernel

    Verfügbar für: OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Ein Schadprogramm konnte die Sandbox-Einschränkungen umgehen

    Beschreibung: Bei der Verarbeitung von Debug-Systemaufrufen kam es zu einem Logikproblem. Dadurch konnte ein Schadprogramm Codes mit denselben Benutzerrechten in anderen Programmen ausführen. Dieses Problem wurde durch die Deaktivierung der Verarbeitung von Adressen in PT_STEP und PT_CONTINUE behoben. Das Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2012-0643: iOS Jailbreak Dream Team

  • LoginWindow

    Verfügbar für: OS X Mountain Lion 10.8 und 10.8.1

    Auswirkung: Ein lokaler Benutzer könnte die Anmeldepasswörter anderer Benutzer abfangen

    Beschreibung: Eine vom Benutzer installierte Methode könnte die Tasteneingaben für ein Passwort im Anmeldefenster oder bei der Entsperrung des Bildschirmschoners abfangen. Dieses Problem wurde behoben, indem vom Benutzer installierte Methoden verhindert werden, wenn das System Anmeldeinformationen verarbeitet.

    CVE-ID

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Die Anzeige einer E-Mail kann zur Ausführung von Web-Plug-ins führen

    Beschreibung: Bei der Verarbeitung von eingebetteten Web-Plug-ins in Mail gab es einen Fehler bei der Eingabevalidierung. Dieses Problem wurde durch die Deaktivierung von Drittanbieter-Plug-ins in Mail behoben. Das Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2012-3719: Will Dormann von CERT/CC

  • Mobile Accounts

    Verfügbar für: OS X Mountain Lion 10.8 und 10.8.1

    Auswirkung: Ein Benutzer mit Zugriff auf die Inhalte eines mobilen Accounts könnte das Accountpasswort ermitteln

    Beschreibung: Beim Erstellen eines mobilen Accounts wurde ein Hashwert des Passworts im Account gespeichert, der verwendet wurde, um die Anmeldung zu ermöglichen, wenn der mobile Account als externer Account verwendet wurde. Der Passwort-Hashwert konnte verwendet werden, um das Passwort des Benutzers zu ermitteln. Dieses Problem wurde behoben, indem die Erstellung des Hashwerts für das Passwort nur noch erfolgt, wenn auf dem System, auf dem der mobile Account erstellt wurde, externe Accounts aktiviert sind.

    CVE-ID

    CVE-2012-3720: Harald Wagener von Google, Inc.

  • PHP

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4, OS X Mountain Lion 10.8 und 10.8.1

    Auswirkung: Mehrere Schwachstellen in PHP

    Beschreibung: >PHP wird auf Version 5.3.15 aktualisiert, um mehrere Schwachstellen zu beseitigen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen können. Weitere Informationen finden Sie auf der PHP-Website unter http://www.php.net

    CVE-ID

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: PHP-Skripts, die libpng verwenden, können anfällig für die Ausführung willkürlichen Codes oder einen unerwarteten Programmabbruch sein

    Beschreibung: Bei der Verarbeitung von PNG-Dateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch die Aktualisierung der libpng-Version von PHP auf Version 1.5.10 behoben. Dieses Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2011-3048

  • Profil-Manager

    Verfügbar für: OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Ein nicht authentifizierter Benutzer könnte betreute Geräte fortlaufend nummerieren

    Beschreibung: Bei der Privatschnittstelle der Geräteverwaltung gab es einen Authentifizierungsfehler. Das Problem wurde durch Entfernen der Schnittstelle behoben.

    Das Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2012-3721: Derick Cassidy von der XEquals Corporation

  • QuickLook

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten PICT-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von PICT-Dateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Validierung von PICT-Dateien behoben. Das Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon) von den Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Das Anzeigen einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von Sean Atoms in QuickTime konnte zu einem Ganzzahl-Pufferüberlauf führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Das Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2012-0670: Tom Gallagher (Microsoft) und Paul Bates (Microsoft) in Zusammenarbeit mit der HP Zero Day Initiative

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Das Anzeigen einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Sorenson-codierten Filmdateien bestand ein Problem mit nicht initialisiertem Speicherzugriff. Dieses Problem wurde durch eine verbesserte Speicherinitialisierung behoben. Das Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2012-3722: Will Dormann von CERT/CC

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Das Anzeigen einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von RLE-codierten Filmdateien gab es einen Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Das Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2012-0668: Luigi Auriemma in Zusammenarbeit mit der HP Zero Day Initiative

  • Ruby

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Ein Angreifer kann möglicherweise durch SSL geschützte Daten entschlüsseln

    Beschreibung: Es gibt bekannte Angriffe auf die Vertraulichkeit von SSL 3.0 und TLS 1.0, wenn eine Cipher Suite einen Block-Cipher im CBC-Modus verwendet. Das Ruby OpenSSL-Modul deaktivierte die Gegenmaßnahme "empty fragment", welche diese Angriffe verhinderte. Dieses Problem wurde durch die Aktivierung von "empty fragments" behoben. Das Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2011-3389

  • USB

    Verfügbar für: OS X Lion 10.7 bis 10.7.4, OS X Lion Server 10.7 bis 10.7.4

    Auswirkung: Das Anschließen eines USB-Geräts kann zu einem unerwarteten Systemabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von USB-Hub-Deskriptoren konnte es zu einem Speicherfehler kommen. Das Problem wurde durch die verbesserte Verarbeitung des bNbrPorts-Deskriptorfelds behoben. Das Problem betrifft keine Systeme mit OS X Mountain Lion.

    CVE-ID

    CVE-2012-3723: Andy Davis von NGS Secure

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: