Informationen zum Sicherheitsupdate 2007-009

In diesem Dokument wird das Sicherheitsupdate 2007-009 beschrieben, das mithilfe der Option Softwareupdate oder über Apple-Downloadsgeladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum PGP-Schlüssel für die Apple-Produktsicherheit findest du unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.

Sicherheitsupdate 2007-009

Adressbuch

CVE-ID: CVE-2007-4708

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Das Öffnen einer in böser Absicht erstellten Webseite kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Im URL-Handler des Adressbuchs gibt es eine Formatzeichenketten-Schwachstelle. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Website aufzurufen, kann ein Angreifer eine unerwartete Programmbeendigung verursachen oder willkürlichen Code ausführen. Das vorliegende Update löst dieses Problem durch eine verbesserte Formatzeichenketten-Verwaltung. Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird, sind von dem Problem nicht betroffen.

CFNetwork

CVE-ID: CVE-2007-4709

Verfügbar für: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Das Öffnen einer in böser Absicht erstellten Website kann zum automatischen Laden von Dateien in willkürliche Ordner führen, auf die der Benutzer Schreibzugriff hat.

Beschreibung: Bei der Verarbeitung von geladenen Dateien in CFNetwork kommt es zu Path Traversal-Fehlern. Wird ein Benutzer dazu verleitet, eine in böser Absicht erstellte Website aufzurufen, kann dies zum automatischen Laden von Dateien in willkürliche Ordner führen, auf die der Benutzer Schreibzugriff hat. Mit diesem Update wird das Problem durch verbesserte Verarbeitung von HTTP-Antworten behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Wir danken Sean Harding für die Meldung dieses Problems.

ColorSync

CVE-ID: CVE-2007-4710

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Das Anzeigen eines in böser Absicht erstellten Bildes mit eingebettetem ColorSync-Profil kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der Verarbeitung von Bildern mit eingebettetem ColorSync-Profil existiert ein Speicherfehlerproblem. Indem ein Benutzer dazu verleitet wird, ein in böser Absicht erstelltes Bild zu öffnen, kann ein Angreifer eine unerwartete Programmbeendigung verursachen oder willkürliche Codes ausführen. Dieses Update behebt das Problem durch Ausführen einer zusätzlichen Bildüberprüfung. Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird, sind von dem Problem nicht betroffen. Wir danken Tom Ferris vom Adobe Secure Software Engineering Team (ASSET) für die Meldung dieses Problems.

Core Foundation

CVE-ID: CVE-2007-5847

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Die Verwendung der CFURLWriteDataAndPropertiesToResource-API kann zur Preisgabe vertraulicher Informationen führen.

Beschreibung: In der CFURLWriteDataAndPropertiesToResource-API gibt es eine Race-Bedingung, die zur Erstellung von Dateien mit unsicheren Berechtigungen führen kann. Dies kann zur Preisgabe vertraulicher Informationen führen. Dieses Update behebt das Problem durch bessere Dateihandhabung. Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird, sind von dem Problem nicht betroffen.

CUPS

CVE-ID: CVE-2007-5848

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Ein lokaler Admin-Benutzer könnte Systemrechte erlangen.

Beschreibung: Im Druckertreiber für CUPS gibt es ein Pufferüberlaufproblem. Dadurch kann ein lokaler Admin-Benutzer Systemrechte erlangen, indem eine in böser Absicht erstellte URI an den CUPS-Dienst weitergeleitet wird. Dieses Update behebt das Problem, indem es sicherstellt, dass die Größe des Zielpuffers auf die Aufnahme der Daten ausgelegt ist. Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird, sind von dem Problem nicht betroffen. Wir danken Dave Camp von Critical Path Software für die Meldung dieses Problems.

CUPS

CVE-ID: CVE-2007-4351

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Entfernte Angreifer können eine unerwartete Programmbeendigung oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Bei der Verarbeitung von IPP (Internet Printing Protocol)-Tags kommt es zu einem Speicherfehler, was dazu führen kann, dass ein entfernter Angreifer eine unerwartete Programmbeendigung oder die Ausführung willkürlichen Codes verursachen kann. Dieses Update behebt das Problem durch Abgrenzungsüberprüfungen.

CUPS

CVE-ID: CVE-2007-5849

Verfügbar für: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Wenn SNMP aktiviert ist, können entfernte Angreifer eine unerwartete Programmbeendigung oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Das CUPS-Backend-SNMP-Programm sendet SNMP-Anfragen, um Netzwerkdruckserver zu ermitteln. Ein Ganzzahlunterlauf bei der Verarbeitung von SNMP-Antworten kann zum Stapelpufferüberlauf führen. Wenn SNMP aktiviert ist, kann ein entfernter Angreifer dieses Problem ausnutzen und eine in böser Absicht erstellte SNMP-Antwort senden, was zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen kann. Dieses Update behebt das Problem durch Ausführen einer zusätzlichen Überprüfung von SNMP-Antworten. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Wir danken Wei Wang von McAfee Avert Labs für die Meldung dieses Problems.

Desktop Services

CVE-ID: CVE-2007-5850

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Das Öffnen eines Verzeichnisses mit einer in böser Absicht erstellten .DS_Store-Datei im Finder kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei den Desktop Services existiert ein Heap-Pufferüberlauf. Indem ein Benutzer dazu verleitet wird, ein Verzeichnis mit einer in böser Absicht erstellten .DS_Store-Datei zu öffnen, kann ein Angreifer willkürlichen Code ausführen. Dieses Update behebt das Problem durch Abgrenzungsüberprüfungen. Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird, sind von dem Problem nicht betroffen.

Flash Player Plug-In

CVE-ID: CVE-2007-5476

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Mehrere Schwachstellen im Adobe Flash Player Plug-In

Beschreibung: Im Adobe Flash Player Plug-In bestehen mehrere Probleme bei der Eingabeüberprüfung. Dies kann zur Ausführung willkürlichen Codes führen. In diesem Update wird das Problem durch ein Update des Adobe Flash Player auf Version 9.0.115.0 behoben. Weitere Informationen findest du auf der Website von Adobe unter: http://www.adobe.com/support/security/bulletins/apsb07-20.html. Wir danken Opera Software für die Meldung dieses Problems.

GNU Tar

CVE-ID: CVE-2007-4131

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Durch Extrahieren eines in böser Absicht erstellten Tar-Archivs können willkürliche Dateien überschrieben werden.

Beschreibung: In GNU Tar existiert ein Directory Traversal-Problem. Indem ein Benutzer dazu verleitet wird, ein in böser Absicht erstelltes Tar-Archiv zu extrahieren, kann ein Angreifer veranlassen, dass willkürliche Dateien überschrieben werden. Dieses Problem wird durch Ausführen einer zusätzlichen Tar-Dateiüberprüfung behoben. Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird, sind von dem Problem nicht betroffen.

iChat

CVE-ID: CVE-2007-5851

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Eine Person in einem lokalen Netzwerk kann eine Videoverbindung ohne die Zustimmung des Benutzers herstellen.

Beschreibung: Ein Angreifer im lokalen Netzwerk kann eine Videokonferenz ohne die Zustimmung des Benutzers herstellen. Dieses Update behebt das Problem, indem die Zustimmung des Benutzers zu einer Videokonferenz angefordert wird. Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird, sind von dem Problem nicht betroffen.

EA-Speicherreihe

CVE-ID: CVE-2007-5853

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Das Öffnen eines in böser Absicht erstellten Images kann zu einem unerwarteten Ausschalten des Systems oder der Ausführung willkürlichen Codes führen.

Beschreibung: Bei der Verarbeitung von GUID-Partitionstabellen innerhalb eines Images besteht ein Speicherfehlerproblem. Indem ein Benutzer dazu verleitet wird, ein in böser Absicht erstelltes Image zu öffnen, kann ein Angreifer ein unerwartetes Ausschalten des Systems oder die Ausführung willkürlichen Codes verursachen. Dieses Update behebt das Problem durch Ausführen einer zusätzlichen Überprüfung der GUID-Partitionstabellen. Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird, sind von dem Problem nicht betroffen.

Launch Services

CVE-ID: CVE-2007-5854

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Das Öffnen einer in böser Absicht erstellten HTML-Datei kann zur Preisgabe von Informationen oder Cross-Site-Skripting führen.

Beschreibung: Launch Services behandelt HTML-Dateien nicht als potenziell unsicheren Inhalt. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte HTML-Datei zu öffnen, kann ein Angreifer die Preisgabe vertraulicher Informationen oder Cross-Site-Skripting verursachen. Dieses Update behebt das Problem, indem HTML-Dateien als potenziell unsicherer Inhalt behandelt werden. Wir danken Michal Zalewski von Google Inc. für die Meldung dieses Problems.

Launch Services

CVE-ID: CVE-2007-6165

Verfügbar für: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Das Öffnen eines ausführbaren E-Mail-Anhangs kann zur Ausführung willkürlichen Codes ohne Warnung führen.

Beschreibung: In Launch Services existiert ein Implementierungsproblem, das dazu führen kann, dass ausführbare E-Mail-Anhänge ohne Warnung ausgeführt werden, wenn ein Benutzer einen E-Mail-Anhang öffnet. Dieses Update behebt das Problem, indem der Benutzer vor der Ausführung ausführbarer E-Mail-Anhänge gewarnt wird. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Wir danken Xeno Kovah für die Meldung dieses Problems.

Mail

CVE-ID: CVE-2007-5855

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Mit dem Account-Assistenten eingerichtete SMTP-Accounts verwenden unter Umständen Klartext-Authentifizierung, auch wenn die „MD5 Challenge-Response“-Authentifizierung verfügbar ist.

Beschreibung: Wenn ein SMTP-Account mit Hilfe des Account-Assistenten eingerichtet wurde, die SMTP-Authentifizierung gewählt wurde und der Server nur die „MD5 Challenge-Response“-Authentifizierung und Klartext-Authentifizierung unterstützt, verwendet Mail standardmäßig die Klartext-Authentifizierung. Dieses Update behebt das Problem, indem sichergestellt wird, dass der sicherste verfügbare Mechanismus verwendet wird. Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird, sind von dem Problem nicht betroffen.

perl

CVE-ID: CVE-2007-5116

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Die Analyse fester Ausdrücke kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der polymorphen Operationscodeunterstützung der Perl Regular Expression-Kompilierung existiert ein Längenberechnungsproblem. Dies kann unter Umständen dazu führen, dass ein Angreifer einen Speicherfehler verursacht, der zur Ausführung willkürlichen Codes durch den Wechsel von Byte- auf Unicode (UTF)-Zeichen in einem festen Ausdruck führt. Dieses Update behebt das Problem, indem die Länge erneut berechnet wird, wenn sich die Zeichencodierung ändert. Wir danken Tavis Ormandy und Will Drewry vom Google Security Team für die Meldung dieses Problems.

python

CVE-ID: CVE-2007-4965

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Das Verarbeiten von Bildinhalten mit dem ImageOP-Modul kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen.

Beschreibung: Im ImageOP-Modul von Python bestehen mehrere Ganzzahlüberläufe. Diese können zu Pufferüberläufen in Programmen führen, die das Modul zur Verarbeitung in böser Absicht erstellter Bildinhalte verwenden. Dies kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch Ausführen einer zusätzlichen Überprüfung von Bildinhalten.

Übersicht

CVE-ID: CVE-2007-5856

Verfügbar für: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Die Vorschau einer Datei bei aktivierter Funktion „Übersicht“ kann zur Preisgabe vertraulicher Informationen führen.

Beschreibung: Beim Anzeigen der Vorschau einer HTML-Datei sind Netzwerkanfragen durch Plug-Ins nicht eingeschränkt. Dies kann zur Preisgabe vertraulicher Informationen führen. Dieses Update behebt das Problem durch Deaktivierung von Plug-Ins. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind.

Übersicht

CVE-ID: CVE-2007-5857

Verfügbar für: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Durch die Vorschau einer Filmdatei werden möglicherweise im Film enthaltene URLs aufgerufen.

Beschreibung: Durch Erstellen eines Symbols für eine Filmdatei oder die Vorschau der Datei mittels der Funktion „Übersicht“ werden möglicherweise im Film enthaltene URLs aufgerufen. Dieses Update behebt das Problem durch Deaktivierung von HREFTrack beim Durchsuchen von Filmdateien. Dieses Problem hat keine Auswirkungen auf Systeme, die älter als Mac OS X 10.5 sind, sowie auf Systeme, auf denen QuickTime 7.3 installiert ist. Wir danken Lukhnos D. Liu von Lithoglyph Inc. für die Meldung dieses Problems.

Ruby

CVE-ID: CVE-2007-5770

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: In Ruby-Mediatheken existieren mehrere Probleme bei der Überprüfung von SSL-Zertifikaten.

Beschreibung: Mehrere Ruby-Mediatheken sind von Problemen bei der Überprüfung von SSL-Zertifikaten betroffen. Dies kann zu Man-in-the-Middle-Angriffen auf Programme führen, die eine betroffene Mediathek verwenden. Dieses Update behebt die Probleme durch Anwendung des Ruby-Patches.

Ruby

CVE-ID: CVE-2007-5379, CVE-2007-5380, CVE-2007-6077

Verfügbar für: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Es existieren mehrere Schwachstellen in Rails 1.2.3

Beschreibung: In Rails 1.2.3 existieren mehrere Schwachstellen, die zur Preisgabe sensibler Informationen führen können. Dieses Update behebt das Problem, indem Rails auf Version 1.2.6 aktualisiert wird. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind.

Safari

CVE-ID: CVE-2007-5858

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zur Preisgabe vertraulicher Informationen führen.

Beschreibung: WebKit erlaubt einer Seite, zu den Subframes einer anderen Seite zu navigieren. Das Aufrufen einer in böser Absicht erstellten Webseite kann zu einem Cross-Site-Scripting-Angriff und so zur Preisgabe vertraulicher Informationen führen. Dieses Update behebt das Problem durch strengere Richtlinien für die Frame-Navigation.

Safari RSS

CVE-ID: CVE-2007-5859

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Der Zugriff auf einen in böser Absicht erstellten Feed: URL kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der Verwaltung von Feed-URLs in Safari kommt es zu einem Speicherfehler. Indem ein Benutzer dazu verleitet wird, auf eine in böser Absicht erstellte URL zuzugreifen, kann ein Angreifer eine unerwartete Programmbeendigung verursachen oder willkürliche Codes ausführen. Dieses Update behebt das Problem durch eine zusätzliche Überprüfung von Feed-URLs und Anzeigen einer Fehlermeldung im Falle einer ungültigen URL. Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird, sind von dem Problem nicht betroffen.

Samba

CVE-ID: CVE-2007-4572, CVE-2007-5398

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Mehrere Schwachstellen in Samba

Beschreibung: In Samba existieren mehrere Schwachstellen, von denen die entfernte Ausführung von Codes am ernsthaftesten ist. Dieses Update behebt die Probleme durch Anwenden von Patches aus dem Samba-Projekt. Weitere Informationen findest du auf der Samba-Website unter http://www.samba.org/samba/history/security.html CVE-2007-4138 hat keine Auswirkungen auf Systeme, die älter sind als Mac OS X 10.5. Wir danken Alin Rad Pop von Secunia Research für die Meldung dieses Problem.

Shockwave Plug-In

CVE-ID: CVE-2006-0024

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Das Öffnen von in böser Absicht erstellten Shockwave-Inhalten kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Im Shockwave Player existieren mehrere Schwachstellen. Indem ein Benutzer zum Öffnen von in böser Absicht erstelltem Shockwave-Inhalt verleitet wird, kann ein Angreifer das Ausführen willkürlichen Codes verursachen. Dieses Update behebt die Probleme durch ein Update des Shockwave Players auf Version 10.1.1.016. Wir danken Jan Hacker von der ETH Zürich für die Meldung des Problems in Shockwave.

SMB

CVE-ID: CVE-2007-3876

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Systemrechten ausführen.

Beschreibung: Im Code, der von mount_smbfs- und smbutil-Programmen zum Parsen von Befehlszeilenargumenten verwendet wird, existiert ein Stapelpufferüberlauf. Dies kann dazu führen, dass ein lokaler Benutzer die Ausführung von willkürlichem Code mit Systemrechten ausführen kann. Dieses Update behebt das Problem durch Abgrenzungsüberprüfungen. Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird, sind von dem Problem nicht betroffen. Wir danke Sean Larsson von VeriSign iDefense Labs für die Meldung dieses Problems.

Softwareupdate

CVE-ID: CVE-2007-5863

Verfügbar für: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Ein Man-in-the-Middle-Angriff kann zur Ausführung willkürlicher Befehle durch das Softwareupdate führen.

Beschreibung: Wenn das Softwareupdate nach neuen Updates sucht, verarbeitet es eine Verteilungsdefinitionsdatei, die vom Update-Server gesendet wurde. Durch Abfangen von Anfragen an den Update-Server kann ein Angreifer eine in böser Absicht erstellte Verteilungsdefinitionsdatei mit der Option „externe Skripts zulassen“ senden, was zur Ausführung willkürlicher Befehle führen kann, wenn ein System nach Updates sucht. Dieses Update behebt das Problem durch Unterbindung der Option „externe Skripts zulassen“ in der Software-Aktualisierung. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Wir danken Moritz Jodeit für die Meldung dieses Problems.

Spin Tracer

CVE-ID: CVE-2007-5860

Verfügbar für: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Systemrechten ausführen.

Beschreibung: Bei der Verarbeitung von Ausgabedateien in SpinTracer bestehen unsichere Dateioperationen. Dadurch kann ein lokaler Benutzer willkürlichen Code mit Systemrechten ausführen. Dieses Update behebt das Problem durch eine verbesserte Handhabung von Ausgabedateien. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Wir danken Kevin Finisterre von DigitalMunition für die Meldung dieses Problems.

Spotlight

CVE-ID: CVE-2007-5861

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Das Laden einer in böser Absicht erstellten .xls-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen.

Beschreibung: In Microsoft Office Spotlight Importer besteht ein Speicherfehlerproblem. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte .xls-Datei zu laden, kann ein Angreifer eine unerwartete Programmbeendigung verursachen oder willkürlichen Code ausführen. Dieses Update behebt das Problem durch Ausführen einer zusätzlichen Überprüfung von .xls-Dateien. Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird, sind von dem Problem nicht betroffen.

tcpdump

CVE-ID: CVE-2007-1218, CVE-2007-3798

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Mehrere Schwachstellen in tcpdump

Auswirkung: In tcpdump existieren mehrere Schwachstellen, von denen die ernsthafteste zur Ausführung willkürlichen Codes führen kann. Dieses Update behebt das Problem, indem tcpdump auf Version 3.9.7 aktualisiert wird. Dieses Problem wirkt sich nicht auf Systeme aus, auf denen Mac OS X 10.5 oder neuer ausgeführt wird.

XQuery

CVE-ID: CVE-2007-1659, CVE-2007-1660, CVE-2007-1661, CVE-2007-1662, CVE-2007-4766, CVE-2007-4767, CVE-2007-4768

Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Auswirkung: Mehrere Schwachstellen bei der Verarbeitung von festen Ausdrücken.

Beschreibung: In der PCRE-Mediathek (Perl Compatible Regular Expressions), die von XQuery verwendet wird, existieren mehrere Schwachstellen, von denen die ernsthafteste zur Ausführung willkürlichen Codes führen kann. Dieses Update behebt das Problem durch das Update von PCRE auf Version 7.3. Weitere Informationen findest du auf der PCRE-Website unter http://www.pcre.org/. Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird, sind von dem Problem nicht betroffen. Wir danken Tavis Ormandy und Will Drewry vom Google Security Team für die Meldung dieses Problems.

Wichtig: Der Hinweis auf Websites und Produkte von Drittanbietern erfolgt ausschließlich zu Informationszwecken und stellt weder eine Billigung noch eine Empfehlung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Informationen und Produkten auf Websites von Drittanbietern. Apple stellt diese Informationen seinen Kunden lediglich als Serviceleistung zur Verfügung. Apple hat die auf diesen Websites gefundenen Informationen nicht geprüft und übernimmt keine Gewähr für ihre Genauigkeit oder Zuverlässigkeit. Die Verwendung von Informationen oder Produkten im Internet birgt Risiken, und Apple übernimmt diesbezüglich keine Verantwortung. Wir bitten um Verständnis, dass Websites von Drittanbietern von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Website hat. Um weiter Informationen zu erhalten, kontaktiere den Anbieter.

Veröffentlichungsdatum: