Diese Aktualisierung kann über die Option "Softwareaktualisierung" oder von der Apple-Supportwebsite geladen und installiert werden.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website "Apple-Produktsicherheit".
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.
Hinweis: OS X Mavericks 10.9.4 beinhaltet den Sicherheitsinhalt von Safari 7.0.5.
OS X Mavericks 10.9.4 und Sicherheitsupdate 2014-003
Richtlinie für vertrauenswürdige Zertifikate
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Aktualisierung der Richtlinie für vertrauenswürdige Zertifikate
Beschreibung: Die Richtlinie für vertrauenswürdige Zertifikate wurde aktualisiert. Eine vollständige Liste der Zertifikate kann unter https://support.apple.com/de-de/HT202858 eingesehen werden.
copyfile
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Das Öffnen einer in böser Absicht erstellten Zip-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von AppleDouble-Dateien in Zip-Archiven trat ein grenzüberschreitendes Byte-Austauschproblem auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1370: Chaitanya (SegFault) in Zusammenarbeit mit iDefense VCP
curl
Verfügbar für: OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein entfernter Angreifer hat möglicherweise Zugang zur Sitzung eines anderen Nutzers
Beschreibung: Wenn mehr als eine Authentifizierungsmethode aktiviert war, verwendete cURL NTLM-Verbindungen wieder, wodurch Angreifern Zugang zur Sitzung eines anderen Nutzers ermöglicht wurde.
CVE-ID
CVE-2014-0015
Dock
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein in der Sandbox ausgeführtes Programm könnte in der Lage sein, Sandbox-Einschränkungen zu umgehen
Beschreibung: Bei der Verarbeitung von Programmnachrichten im Dock bestand ein Problem mit nicht überprüften Array-Indizes. Eine in böser Absicht erstellte Nachricht könnte zur Dereferenzierung eines ungültigen Funktionszeigers führen, was zu einem unerwarteten Programmabbruch oder Ausführung willkürlichen Codes führen kann.
CVE-ID
CVE-2014-1371: Ein anonymer Forscher in Zusammenarbeit mit der HP Zero Day Initiative
Grafiktreiber
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein lokaler Benutzer kann Kernel-Speicher lesen, die zur Umgehung der Kernel-ASLR (Address Space Layout Randomization) verwendet werden können
Beschreibung: Bei der Verarbeitung eines Systemaufrufs trat ein grenzüberschreitendes Ausleseproblem auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1372: Ian Beer von Google Project Zero
iBooks Commerce
Verfügbar für: OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein Angreifer mit Zugriff auf ein System ist möglicherweise in der Lage, Apple-ID-Anmeldedaten zu ermitteln.
Beschreibung: Bei der Verarbeitung von iBooks-Protokollen bestand ein Problem. Apple-ID-Anmeldeinformationen werden möglicherweise im iBooks-Protokoll protokolliert, wo sie für andere Nutzer des Systems sichtbar sein könnten. Dieses Problem wurde dadurch behoben, dass das Protokollieren von Anmeldeinformationen nun nicht mehr zugelassen wird.
CVE-ID
CVE-2014-1317: Steve Dunham
Intel-Grafiktreiber
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Bei der Verarbeitung eines OpenGL API-Aufrufs trat ein Problem bei der Überprüfung auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1373: Ian Beer von Google Project Zero
Intel-Grafiktreiber
Verfügbar für: OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein lokaler Benutzer kann einen Kernel-Zeiger lesen, der zur Umgehung der Kernel-ASLR (Address Space Layout Randomization) verwendet werden kann
Beschreibung: Ein Kernel-Zeiger, der in einem IOKit-Objekt gespeichert ist, könnte aus dem Userland abgerufen werden. Dieses Problem wurde durch das Entfernen des Zeigers aus dem Objekt behoben.
CVE-ID
CVE-2014-1375
Intel Compute
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Bei der Verarbeitung eines OpenGL-API-Aufrufs trat ein Problem bei der Überprüfung auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1376: Ian Beer von Google Project Zero
IOAcceleratorFamily
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: In IOAcceleratorFamily bestand ein Problem mit der Indizierung von Arrays. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1377: Ian Beer von Google Project Zero
IOGraphicsFamily
Verfügbar für: OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein lokaler Benutzer kann einen Kernel-Zeiger lesen, der zur Umgehung der Kernel-ASLR (Address Space Layout Randomization) verwendet werden kann
Beschreibung: Ein Kernel-Zeiger, der in einem IOKit-Objekt gespeichert ist, könnte aus dem Userland abgerufen werden. Das Problem wurde durch Verwendung einer eindeutigen ID anstelle eines Zeigers gelöst.
CVE-ID
CVE-2014-1378
IOReporting
Verfügbar für: OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein lokaler Benutzer könnte einen unerwarteten Systemneustart verursachen
Beschreibung: Bei der Verarbeitung von IOKit API-Argumenten existierte eine NULL-Zeiger-Dereferenz. Dieses Problem wurde durch eine zusätzliche Überprüfung von IOKit API-Argumenten behoben.
CVE-ID
CVE-2014-1355: cunzhang von Adlab von Venustech
launchd
Verfügbar für: OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: In launchd trat ein Ganzzahl-Unterlauf auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1359: Ian Beer von Google Project Zero
launchd
Verfügbar für: OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Bei der Verarbeitung von IPC-Nachrichten in launchd trat ein Stapelpufferüberlauf auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1356: Ian Beer von Google Project Zero
launchd
Verfügbar für: OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Bei der Verarbeitung von Protokollnachrichten in launchd trat ein Stapelpufferüberlauf auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1357: Ian Beer von Google Project Zero
launchd
Verfügbar für: OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: In launchd trat ein Ganzzahl-Überlauf auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1358: Ian Beer von Google Project Zero
Grafiktreiber
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: In Kernel-Grafiktreibern traten mehrere Probleme mit NULL-Rückverweisen auf. Eine in böser Absicht erstellte ausführbare 32-Bit-Datei konnte erhöhte Benutzerrechte erlangen.
CVE-ID
CVE-2014-1379: Ian Beer von Google Project Zero
Sicherheit – Schlüsselbund
Verfügbar für: OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein Angreifer ist möglicherweise trotz Bildschirmsperre in der Lage, Daten in Fenstern einzugeben
Beschreibung: Unter speziellen Umständen kann es vorkommen, dass die Bildschirmsperre die Eingabe von Tastatureingaben nicht unterbindet. Dadurch könnte ein Angreifer in der Lage gewesen sein, auch bei aktiver Bildschirmsperre Daten in Fenstern einzugeben. Dieses Problem wurde durch eine verbesserte Tastaturüberwachungsverwaltung behoben.
CVE-ID
CVE-2014-1380: Ben Langfeld von Mojo Lingo LLC
Sicherheit – Secure Transport
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein entfernter Angreifer könnte auf zwei Byte Speicher Zugriff haben
Beschreibung: Bei der Verarbeitung von DTLS-Nachrichten in einer TLS-Verbindung traten Probleme aufgrund eines nicht initialisierten Speicherzugriffs auf. Dieses Problem wurde behoben, indem dafür gesorgt wurde, dass der Empfang von DTLS-Nachrichten nur in einer DTLS-Verbindung möglich ist.
CVE-ID
CVE-2014-1361: Thijs Alkemade von The Adium Project
Thunderbolt
Verfügbar für: OS X Mavericks 10.9 bis 10.9.3
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Bei der Verarbeitung von IOThunderBoltController API-Aufrufen trat ein Problem mit grenzüberschreitendem Speicherzugriff auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1381: Sarah alias winocm
Eintrag aktualisiert am Montag, 3. Februar 2020