Informationen zum Sicherheitsinhalt von OS X Yosemite 10.10

Dieses Dokument beschreibt den Sicherheitsinhalt von OS X Yosemite 10.10.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

OS X Yosemite 10.10

• 802.1X

  Auswirkung: Ein Angreifer kann WLAN-Berechtigungsnachweise erlangen.

  Beschreibung: Ein Angreifer könnte einen WLAN-Zugangspunkt vorgetäuscht haben, eine Authentifizierung mit LEAP angeboten haben, den MS-CHAPv1-Hash geknackt und die daraus abgeleiteten Berechtigungsnachweise verwendet haben, um sich beim beabsichtigten Zugangspunkt zu authentifizieren, selbst wenn dieser Zugangspunkt stärkere Authentifizierungsmethoden unterstützte. Dieses Problem wurde durch standardmäßige Deaktivierung von LEAP behoben.

  CVE-ID

  CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax und Wim Lamotte von der Universität Hasselt

• AFP-Dateiserver

  Auswirkung: Ein entfernter Angreifer konnte alle Netzwerkadressen des Systems ermitteln.

  Beschreibung: Der AFP-Dateiserver unterstützte einen Befehl, der alle Netzwerkadressen des Systems ausgab. Dieses Problem wurde durch das Entfernen der Adressen aus dem Ergebnis behoben.

  CVE-ID

  CVE-2014-4426: Craig Young von Tripwire VERT

• Apache

  Symptom: Mehrere Schwachstellen in Apache

  Beschreibung: In Apache waren mehrere Schwachstellen vorhanden, die im schlimmsten Fall zu einem Denial-of-Service führen können. Diese Probleme wurden durch die Aktualisierung von Apache auf Version 2.4.9 behoben.

  CVE-ID

  CVE-2013-6438

  CVE-2014-0098

• App-Sandbox

  Auswirkung: Ein durch Sandbox-Einschränkungen beschränktes Programm konnte die Bedienungshilfen-API missbrauchen.

  Beschreibung: Ein in der Sandbox ausgeführtes Programm konnte die Bedienungshilfen-API ohne Wissen des Benutzers missbrauchen. Dieses Problem wurde behoben, indem zur Nutzung der Bedienungshilfen-API pro Programm eine Administratorgenehmigung erforderlich ist.

  CVE-ID

  CVE-2014-4427: Paul S. Ziegler von Reflare UG

• Bash

  Auswirkung: In bestimmten Konfigurationen kann ein entfernter Angreifer willkürliche Shell-Befehle ausführen.

  Beschreibung: Es bestand ein Problem beim Parsen von Umgebungsvariablen in Bash. Dieses Problem wurde durch ein verbessertes Parsen von Umgebungsvariablen behoben, indem das Ende der Funktionsanweisung besser erkannt wird.

  Diese Aktualisierung beinhaltet auch die vorgeschlagene Änderung aus CVE-2014-7169, welche den Parser-Status zurücksetzt.

  Darüber hinaus fügt diese Aktualisierung einen neuen Namespace für exportierte Funktionen hinzu, indem ein Function Decorator erstellt wird, um ein unbeabsichtigtes Durchleiten eines Headers an Bash zu verhindern. Die Namen aller Umgebungsvariablen, die Funktionsdefinitionen einführen, müssen das Präfix "__BASH_FUNC<" und das Suffix ">()" aufweisen, damit eine unbeabsichtigte Weitergabe einer Funktion über HTTP-Header verhindert wird.

  CVE-ID

  CVE-2014-6271: Stephane Chazelas

  CVE-2014-7169: Tavis Ormandy

• Bluetooth

  Auswirkung: Ein böswilliges Bluetooth-Eingabegerät kann die Kopplung umgehen.

  Beschreibung: Von energiesparenden Bluetooth-Geräten der Human Interface Device-Klasse wurden unverschlüsselte Verbindungen zugelassen. Wenn ein Mac mit einem derartigen Gerät gekoppelt war, konnte ein Angreifer ein legitimes Gerät vortäuschen, um eine Verbindung herzustellen. Das Problem wurde behoben, indem unverschlüsselte HID-Verbindungen abgelehnt werden.

  CVE-ID

  CVE-2014-4428: Mike Ryan von iSEC Partners

• CFPreferences

  Auswirkung: Die Einstellung "Passwort erforderlich nach Beginn des Ruhezustands oder Bildschirmschoners" wird möglicherweise erst nach einem Neustart eingehalten.

  Beschreibung: Es existierte ein Sitzungsverwaltungsproblem beim Umgang mit den Systemeinstellungen. Das Problem wurde durch ein verbessertes Sitzungs-Tracking behoben.

  CVE-ID

  CVE-2014-4425

• Richtlinie für vertrauenswürdige Zertifikate

  Auswirkung: Aktualisierung der Richtlinie für vertrauenswürdige Zertifikate

  Beschreibung: Die Richtlinie für vertrauenswürdige Zertifikate wurde aktualisiert. Eine vollständige Liste der Zertifikate kann unter http://support.apple.com/kb/HT6005?viewlocale=de_DE eingesehen werden.

• CoreStorage

  Auswirkung: Ein verschlüsseltes Volume verbleibt möglicherweise ungeschützt, wenn es ausgeworfen wird.

  Beschreibung: Wenn ein aktiviertes verschlüsseltes Volume logisch ausgeworfen wurde, wurde das Volume deaktiviert, die Schlüssel wurden jedoch beibehalten, sodass das Volume ohne Passwort erneut hätte aktiviert werden können. Das Problem wurde behoben, indem die Schlüssel beim Auswerfen gelöscht werden.

  CVE-ID

  CVE-2014-4430: Benjamin King von See Ben Click Computer Services LLC, Karsten Iwen, Dustin Li (http://dustin.li/), Ken J. Takekoshi und weitere anonyme Forscher

• CUPS

  Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Systemrechten ausführen.

  Beschreibung: Wenn die CUPS-Weboberfläche Dateien bereitstellte, folgte sie symlinks. Ein lokaler Benutzer konnte symlinks zu willkürlichen Dateien erstellen und diese über die Weboberfläche abrufen. Das Problem wurde behoben, indem nicht mehr zugelassen wird, dass symlinks über die CUPS-Weboberfläche bereitgestellt wird.

  CVE-ID

  CVE-2014-3537

• Dock

  Auswirkung: Unter gewissen Umständen können Fenster sichtbar sein, selbst wenn der Bildschirm gesperrt ist.

  Beschreibung: Es existierte ein Zustandsverwaltungsproblem beim Umgang mit der Bildschirmsperre. Dieses Problem wurde durch ein verbessertes Status-Tracking behoben.

  CVE-ID

  CVE-2014-4431: Emil Sjölander von der Universität Umeå

• fdesetup

  Auswirkung: Der Befehl fdesetup kann einen irreführenden Status für den Zustand der Volumeverschlüsselung liefern.

  Beschreibung: Der Befehl fdesetup lieferte nach dem Aktualisieren der Einstellungen, jedoch vor dem Neustart einen irreführenden Status. Dieses Problem wurde durch eine verbesserte Statusmeldung behoben.

  CVE-ID

  CVE-2014-4432

• iCloud: "Meinen Mac suchen"

  Auswirkung: Die PIN für den Modus "Verloren" in iCloud kann erzwungen werden.

  Beschreibung: Ein Problem mit einem fortbestehenden Status bei der Ratenbegrenzung ließ Brute-Force-Angriffe auf die PIN des Modus "Verloren" in iCloud zu. Dieses Problem wurde durch einen verbesserten Statusfortbestand über mehrere Neustarts hinweg behoben.

  CVE-ID

  CVE-2014-4435: knoy

• IOAcceleratorFamily

  Auswirkung: Ein Programm kann einen Denial-of-Service verursachen.

  Beschreibung: Im IntelAccelerator-Treiber existierte ein NULL-Zeiger-Rückverweis. Dieses Problem wurde durch eine verbesserte Fehlerbehandlung behoben.

  CVE-ID

  CVE-2014-4373: cunzhang von Adlab von Venustech

• IOHIDFamily

  Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

  Beschreibung: Bei der Verarbeitung von Schlüsselzuordnungseigenschaften in IOHIDFamily gab es einen Null-Zeiger-Rückverweis. Dieses Problem wurde durch eine verbesserte Überprüfung von IOHIDFamily-Schlüsselzuordnungseigenschaften behoben.

  CVE-ID

  CVE-2014-4405: Ian Beer von Google Project Zero

• IOHIDFamily

  Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

  Beschreibung: Bei der Verarbeitung von Schlüsselzuordnungseigenschaften in IOHIDFamily trat ein Stapelpufferüberlauf auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

  CVE-ID

  CVE-2014-4404: Ian Beer von Google Project Zero

• IOHIDFamily

  Auswirkung: Ein Programm kann einen Denial-of-Service verursachen.

  Beschreibung: Es gab ein Problem mit Lesevorgängen außerhalb der Speichergrenzen im IOHIDFamily-Treiber. Das Problem wurde durch eine verbesserte Überprüfung der Eingaben behoben.

  CVE-ID

  CVE-2014-4436: cunzhang von Adlab von Venustech

• IOHIDFamily

  Auswirkung: Ein Benutzer kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

  Beschreibung: Im IOHIDFamily-Treiber bestand ein grenzüberschreitendes Schreibproblem. Das Problem wurde durch eine verbesserte Überprüfung der Eingaben behoben.

  CVE-ID

  CVE-2014-4380: cunzhang von Adlab von Venustech

• IOKit

  Auswirkung: Ein in böswilliger Absicht erstelltes Programm könnte nicht initialisierte Daten aus dem Kernelspeicher lesen.

  Beschreibung: Bei der Verarbeitung von IOKit-Funktionen existierte ein Problem aufgrund von Zugriff auf nicht initialisierten Speicher. Dieses Problem wurde durch eine verbesserte Speicherinitialisierung behoben.

  CVE-ID

  CVE-2014-4407: @PanguTeam

• IOKit

  Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

  Beschreibung: Es existierte ein Validierungsproblem bei der Verarbeitung bestimmter Metadatenfelder von IODataQueue-Objekten. Dieses Problem wurde durch eine verbesserte Validierung von Metadaten behoben.

  CVE-ID

  CVE-2014-4388: @PanguTeam

• IOKit

  Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

  Beschreibung: Es existierte ein Validierungsproblem bei der Verarbeitung bestimmter Metadatenfelder von IODataQueue-Objekten. Dieses Problem wurde durch eine verbesserte Validierung von Metadaten behoben.

  CVE-ID

  CVE-2014-4418: Ian Beer von Google Project Zero

• Kernel

  Auswirkung: Ein lokaler Benutzer könnte das Kernel-Speicher-Layout ermitteln.

  Beschreibung: Es bestanden mehrere Probleme mit nicht initialisiertem Speicher in der Netzwerkstatistik-Schnittstelle, was zur Preisgabe von Kernelspeicherinhalten führte. Dieses Problem wurde durch eine zusätzliche Speicherinitialisierung behoben.

  CVE-ID

  CVE-2014-4371: Fermin J. Serna vom Google-Sicherheitsteam

  CVE-2014-4419: Fermin J. Serna vom Google-Sicherheitsteam

  CVE-2014-4420: Fermin J. Serna vom Google-Sicherheitsteam

  CVE-2014-4421: Fermin J. Serna vom Google-Sicherheitsteam

• Kernel

  Auswirkung: Ein in böswilliger Absicht erstelltes Dateisystem kann einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes verursachen.

  Beschreibung: Es existierte ein stapelbasierter Pufferüberlauf bei der Verarbeitung von HFS Resource Forks. Ein in böswilliger Absicht erstelltes Dateisystem kann einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes mit Kernelrechten verursachen. Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

  CVE-ID

  CVE-2014-4433: Maksymilian Arciemowicz

• Kernel

  Auswirkung: Ein böswilliges Dateisystem kann einen unerwarteten Systemabbruch verursachen.

  Beschreibung: Es existierte ein Problem mit einem NULL-Rückverweis bei der Verarbeitung von HFS-Dateinamen. Ein in böswilliger Absicht erstelltes Dateisystem kann einen unerwarteten Systemabbruch verursachen. Das Problem wurde durch Umgehen des NULL-Rückverweises behoben.

  CVE-ID

  CVE-2014-4434: Maksymilian Arciemowicz

• Kernel

  Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen.

  Beschreibung: Bei der Verarbeitung von Mach-Ports kam es zu einem Double-Free-Problem. Dieses Problem wurde durch eine verbesserte Überprüfung von Mach-Ports behoben.

  CVE-ID

  CVE-2014-4375: ein anonymer Forscher

• Kernel

  Auswirkung: Eine Person in einer privilegierten Netzwerkposition könnte einen Denial-of-Service verursachen.

  Beschreibung: Bei der Verarbeitung von IPv6-Paketen existierte eine Race-Bedingung. Dieses Problem wurde durch eine verbesserte Sperrstatusüberprüfung behoben.

  CVE-ID

  CVE-2011-2391: Marc Heuse

• Kernel

  Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen.

  Beschreibung: In rt_setgate bestand ein grenzüberschreitendes Ausleseproblem. Dies kann zu Speicherpreisgabe oder Speicherkorruption führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

  CVE-ID

  CVE-2014-4408

• Kernel

  Auswirkung: Ein lokaler Benutzer kann einen unerwarteten Systemabbruch verursachen.

  Beschreibung: Die Verarbeitung von Nachrichten, die an Systemkontrollsockets gesendet wurden, konnte zu einer Panik führen. Dieses Problem wurde durch Ausführen einer zusätzlichen Validierung von Nachrichten behoben.

  CVE-ID

  CVE-2014-4442: Darius Davis von VMware

• Kernel

  Auswirkung: Manche Kernel-Härtungsmaßnahmen können umgangen werden.

  Beschreibung: Der für Kernel-Härtungsmaßnahmen früh im Systemstart verwendete Zufallszahlengenerator war kryptografisch unsicher. Ein Teil der Ausgabedaten war vom Benutzerraum ableitbar, wodurch die Härtungsmaßnahmen umgangen werden konnten. Dieses Problem wurde durch die Verwendung eines kryptografisch sicheren Algorithmus behoben.

  CVE-ID

  CVE-2014-4422: Tarjei Mandt von Azimuth Security

• LaunchServices

  Auswirkung: Ein lokales Programm kann Sandbox-Einschränkungen umgehen.

  Beschreibung: Die LaunchServices-Schnittstelle zum Einstellen von Inhaltstyp-Handlern erlaubte es in der Sandbox ausgeführten Programmen, Handler für bestehende Inhaltstypen anzugeben. Ein kompromittiertes Programm konnte dies nutzen, um die Sandbox-Einschränkungen zu umgehen. Dieses Problem wurde behoben, indem festgelegt wurde, dass in der Sandbox ausgeführte Programme keine Inhaltstyp-Handler angeben können.

  CVE-ID

  CVE-2014-4437: Meder Kydyraliev vom Google-Sicherheitsteam

• LoginWindow

  Auswirkung: Manchmal wird der Bildschirm nicht gesperrt.

  Beschreibung: Es bestand eine Race-Bedingung in LoginWindow, welche manchmal das Sperren des Bildschirms verhinderte. Das Problem wurde durch eine geänderte Reihenfolge von Vorgängen behoben.

  CVE-ID

  CVE-2014-4438: Harry Sintonen von nSense, Alessandro Lobina von Helvetia Insurances, Patryk Szlagowski von Funky Monkey Labs

• Mail

  Auswirkung: Mail kann E-Mails an unbeabsichtigte Empfänger senden.

  Beschreibung: Eine Inkonsistenz in der Benutzeroberfläche von Mail führte dazu, dass E-Mails an Adressen gesendet wurden, die aus der Empfängerliste entfernt wurden. Das Problem wurde durch eine verbesserte Überprüfung der Benutzeroberflächenkonsistenz behoben.

  CVE-ID

  CVE-2014-4439: Patrick J Power aus Melbourne, Australien

• MCX Desktop-Konfigurationsprofile

  Auswirkung: Bei der Deinstallation von mobilen Konfigurationsprofilen wurden deren Einstellungen nicht entfernt.

  Beschreibung: Von einem mobilen Konfigurationsprofil installierte Web-Proxyeinstellungen wurden beim Deinstallieren des Profils nicht entfernt. Dieses Problem wurde durch eine verbesserte Verarbeitung der Profildeinstallation behoben.

  CVE-ID

  CVE-2014-4440: Kevin Koster von Cloudpath Networks

• NetFS Client Framework

  Auswirkung: Die Dateifreigabe kann in einen Status wechseln, in dem sie nicht deaktiviert werden kann.

  Beschreibung: Es existierte ein Statusverwaltungsproblem im Dateifreigabe-Framework. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

  CVE-ID

  CVE-2014-4441: Eduardo Bonsi von BEARTCOMMUNICATIONS

• QuickTime

  Auswirkung: Die Wiedergabe einer in böswilliger Absicht erstellten m4a-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: Bei der Verarbeitung von Audio-Samples gab es einen Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

  CVE-ID

  CVE-2014-4351: Karl Smith von der NCC Group

• Safari

  Auswirkung: Der Verlauf kürzlich besuchter Seiten auf einem geöffneten Tab bleibt auch nach dem Löschen des Verlaufs bestehen.

  Beschreibung: Beim Löschen des Verlaufs in Safari wurde der zugehörige Verlauf geöffneter Tabs nicht gelöscht. Dieses Problem wurde durch Löschen des zugehörigen Verlaufs behoben.

  CVE-ID

  CVE-2013-5150

• Safari

  Auswirkung: Das Zulassen von Push-Mitteilungen von einer in böswilliger Absicht erstellten Website kann dazu führen, dass künftige Safari Push-Mitteilungen nicht empfangen werden.

  Beschreibung: Es existierte ein unbemerktes Ausnahmeproblem bei der Verarbeitung von Safari Push-Mitteilungen durch SafariNotificationAgent. Dieses Problem wurde durch eine verbesserte Verarbeitung von Safari Push-Mitteilungen verbessert.

  CVE-ID

  CVE-2014-4417: Marek Isalski von Faelix Limited

• Secure Transport

  Auswirkung: Ein Angreifer kann möglicherweise durch SSL geschützte Daten entschlüsseln.

  Beschreibung: Es gibt bekannte Angriffe auf die Vertraulichkeit von SSL 3.0, wenn eine Cipher Suite einen Block-Cipher im CBC-Modus verwendet. Ein Angreifer könnte die Nutzung von SSL 3.0 erzwingen, auch wenn der Server eine bessere TLS-Version unterstützt, indem Verbindungsversuche mit TLS 1.0 und höher blockiert werden. Dieses Problem wurde behoben, indem CBC Cipher Suites deaktiviert werden, wenn eine TLS-Verbindung fehlschlägt.

  CVE-ID

  CVE-2014-3566: Bodo Moeller, Thai Duong und Krzysztof Kotowicz vom Google-Sicherheitsteam

• Sicherheit

  Auswirkung: Ein entfernter Angreifer könnte einen Denial-of-Service-Angriff verursachen.

  Beschreibung: Bei der Verarbeitung von ASN.1-Daten existierte ein Null-Rückverweis. Dieses Problem wurde durch Ausführen einer zusätzlichen Validierung von ASN.1-Daten behoben.

  CVE-ID

  CVE-2014-4443: Coverity

• Sicherheit

  Auswirkung: Ein lokaler Benutzer könnte Zugriff auf die Kerberos-Tickets eines anderen Benutzers haben.

  Beschreibung: Es gab ein Statusverwaltungsproblem in SecurityAgent. Beim schnellen Benutzerwechsel wird manchmal ein Kerberos-Ticket für den Benutzer, zu dem gewechselt wird, in den Cache des vorherigen Benutzers gelegt. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

  CVE-ID

  CVE-2014-4444: Gary Simon von Sandia National Laboratories, Ragnar Sundblad vom KTH Royal Institute of Technology, Eugene Homyakov von Kaspersky Lab

• Sicherheit – Codesignierung

  Auswirkung: Manipulierte Programme werden nicht am Starten gehindert.

  Beschreibung: Programme, die vor OS X Mavericks 10.9 bei OS X angemeldet waren oder eigene Ressourcenregeln nutzen, wurden möglicherweise auf eine Art manipuliert, bei der die Signatur nicht ungültig wurde. Auf Systemen, die so eingestellt sind, dass nur Programme aus dem Mac App Store und von identifizierten Entwicklern zugelassen werden, konnte zugelassen werden, dass ein geladenes modifiziertes Programm so ausgeführt wird, als wäre dieses legitim. Dieses Problem wurde behoben, indem Signaturen aus Bündeln mit Resource Envelopes ignoriert werden, die Resources auslassen, die die Ausführung beeinflussen können. OS X Mavericks 10.9.5 und Sicherheits-Update 2014-004 für OS X Mountain Lion 10.8.5 enthalten diese Änderungen bereits.

  CVE-ID

  CVE-2014-4391: Christopher Hickstein in Zusammenarbeit mit der HP Zero Day Initiative

Hinweis: OS X Yosemite enthält Safari 8.0, das den Sicherheitsinhalt von Safari 7.1 beinhaltet. Weitere Informationen erhalten Sie unter Informationen zum Sicherheitsinhalt von Safari 7.1.