Informationen zum Sicherheitsupdate 2006-003
In diesem Dokument wird das Sicherheitsupdate 2007-009 beschrieben, das mithilfe der Option Softwareupdate oder über Apple-Downloadsgeladen und installiert werden kann.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter “Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.“
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.
Sicherheitsupdate 2006-003
AppKit
CVE-ID: CVE-2006-1439
Verfügbar für: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Zeichen, die in ein sicheres Textfeld eingegeben werden, können von anderen Anwendungen in derselben Fenstersitzung gelesen werden
Beschreibung: Unter bestimmten Umständen, wenn zwischen Texteingabefeldern gewechselt wird, kann NSSecureTextField die sichere Ereigniseingabe nicht wieder aktivieren. Dadurch können andere Anwendungen in derselben Fenstersitzung einige Eingabezeichen und Tastaturereignisse sehen. Dieses Update behebt das Problem, indem sicherstellt wird, dass die sichere Ereigniseingabe ordnungsgemäß aktiviert ist. Dieses Problem betrifft keine Systeme vor Mac OS X v10.4.
AppKit, ImageIO
CVE-ID: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984
Verfügbar für: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten GIF- oder TIFF-Bildes kann zur Ausführung von willkürlichem Code führen
Beschreibung: Der Umgang mit fehlerhaft erstellten GIF- oder TIFF-Bildern kann zur Ausführung von willkürlichem Code führen, wenn ein in böser Absicht erstelltes Bild analysiert wird. Dies betrifft Programme, die das ImageIO (Mac OS X v10.4 Tiger) oder AppKit-Framework (Mac OS X v10.3 Panther) zum Lesen von Bildern verwenden. Dieses Update behebt das Problem durch eine zusätzliche Überprüfung von GIF- und TIFF-Bildern.
BOM
CVE-ID: CVE-2006-1985
Verfügbar für: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Das Erweitern eines Archivs kann zur Ausführung von willkürlichem Code führen
Beschreibung: Durch die gezielte Herstellung eines Archivs (z. B. eines Zip-Archivs), das lange Pfadnamen enthält, kann ein Angreifer möglicherweise einen Heap-Pufferüberlauf in BOM auslösen. Dies kann zur Ausführung von willkürlichem Code führen. BOM wird verwendet, um Archive in Finder und anderen Programmen zu verarbeiten. Mit diesem Update wird das Problem durch korrekte Behandlung der Grenzbedingungen behoben.
BOM
CVE-ID: CVE-2006-1440
Verfügbar für: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Das Erweitern eines böswilligen Archivs kann dazu führen, dass beliebige Dateien erstellt oder überschrieben werden
Beschreibung: Ein Problem bei der Verarbeitung von symbolischen Links bei der Verzeichnisüberschreitung in Archiven kann dazu führen, dass BOM Dateien an beliebigen Orten erstellt oder überschreibt, auf die der Benutzer, der das Archiv erweitert, Zugriff hat. BOM verarbeitet Archive im Auftrag von Finder und anderen Programmen. Dieses Update behebt das Problem, indem es sicherstellt, dass aus einem Archiv expandierte Dateien nicht außerhalb des Zielverzeichnisses abgelegt werden.
CFNetwork
CVE-ID: CVE-2006-1441
Verfügbar für: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Der Besuch von schadhaften Websites kann zur Ausführung von willkürlichem Code führen
Beschreibung: Ein Integer-Überlauf bei der Behandlung von Chunked Transfer Encoding könnte zur Ausführung von willkürlichem Code führen. CFNetwork wird von Safari und anderen Programmen verwendet. Dieses Update behebt das Problem durch Ausführen einer zusätzlichen Überprüfung. Das Problem betrifft keine Systeme vor Mac OS X v10.4.
ClamAV
CVE-ID: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630
Verfügbar für: Mac OS X Server v10.4.6
Auswirkung: Die Verarbeitung von in böser Absicht erstellten E-Mail-Nachrichten mit ClamAV kann zur Ausführung von willkürlichem Code führen
Beschreibung: Die ClamAV-Antivirensoftware wurde aktualisiert, um Sicherheitskorrekturen in die neueste Version zu integrieren. ClamAV wurde in Mac OS X Server v10.4 zum Scannen von E-Mails eingeführt. Das schwerwiegendste dieser Probleme könnte zur Ausführung von willkürlichem Code mit ClamAV-Rechten führen. Weitere Informationen finden Sie auf der Website des Projekts unter http://www.clamav.net.
CoreFoundation
CVE-ID: CVE-2006-1442
Verfügbar für: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Die Registrierung eines nicht vertrauenswürdigen Bundles kann zur Ausführung von willkürlichem Code führen
Beschreibung: Unter bestimmten Umständen werden Bundles implizit von Anwendungen oder dem System registriert. Eine Funktion der Bundle-API lässt bei der Registrierung eines Bundles dynamische Bibliotheken laden und ausführen, selbst wenn das Client-Programm dies nicht ausdrücklich anfordert. Daraus folgt, dass willkürlicher Code von einem nicht vertrauenswürdigen Bundle ohne ausdrückliche Interaktion mit dem Benutzer ausgeführt werden kann. Dieses Update behebt das Problem, indem Bibliotheken vom Bundle nur zur geeigneten Zeit geladen und ausgeführt werden.
CoreFoundation
CVE-ID: CVE-2006-1443
Verfügbar für: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Stringkonvertierungen in Dateisystemdarstellung können zur Ausführung von willkürlichem Code führen
Beschreibung: Ein Integer-Unterlauf während der Verarbeitung einer Grenzbedingung in CFStringGetFileSystemRepresentation kann zur Ausführung von willkürlichem Code führen. Anwendungen, die diese API oder eine der zugehörigen APIs wie getFileSystemRepresentation:maxLength:withPath: von NSFileManager verwenden, können das Problem auslösen und zur Ausführung von willkürlichem Code führen. Mit diesem Update wird das Problem durch korrekte Behandlung der Grenzbedingungen behoben.
CoreGraphics
CVE-ID: CVE-2006-1444
Verfügbar für: Mac OS X v10.4.6 Mac OS X Server v10.4.6
Auswirkung: Zeichen, die in ein sicheres Textfeld eingegeben werden, können von anderen Anwendungen in derselben Fenstersitzung gelesen werden
Beschreibung: Quartz Event Services bietet Anwendungen die Möglichkeit, Low-Level-Eingabeereignisse zu beobachten und zu verändern. Normalerweise können Anwendungen keine Ereignisse abfangen, wenn die sichere Ereigniseingabe aktiviert ist. Wenn jedoch die Option „Zugriff für Hilfsgeräte aktivieren“ aktiviert ist, kann Quartz Event Services zum Abfangen von Ereignissen verwendet werden, selbst wenn die sichere Ereigniseingabe aktiviert ist. Dieses Update behebt das Problem, indem Ereignisse gefiltert werden, wenn die sichere Ereigniseingabe aktiviert ist. Dieses Problem betrifft keine Systeme vor Mac OS X v10.4. Wir danken Damien Bobillot für die Meldung dieses Problems.
Finder
CVE-ID: CVE-2006-1448
Verfügbar für: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Das Starten eines Internet Location-Elements kann zur Ausführung von willkürlichem Code führen
Beschreibung: Internet Location-Elemente sind einfache URL-Container, die auf http://, ftp:// und file:// URLs sowie einige andere URL-Schemata verweisen können. Diese verschiedenen Typen von Internet Location-Elementen unterscheiden sich äußerlich und sind so konzipiert, dass es sicher ist, sie ausdrücklich zu starten. Das Schema der URL kann sich jedoch vom Internet Location-Typ unterscheiden. So kann ein Angreifer einen Benutzer dazu verleiten, ein vermeintlich harmloses Element (z. B. eine Internetadresse, http://) aufzurufen, wobei tatsächlich aber ein anderes URL-Schema verwendet wird. Unter bestimmten Umständen kann dies zur Ausführung von willkürlichem Code führen. Dieses Update behebt die Probleme, indem es das URL-Schema auf der Grundlage des Internet Location-Typs einschränkt.
FTPServer
CVE-ID: CVE-2006-1445
Verfügbar für: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: FTP-Operationen durch authentifizierte FTP-Benutzer können zur Ausführung von willkürlichem Code führen
Beschreibung: Mehrere Probleme bei der Behandlung von FTP-Server-Pfadnamen könnten zu einem Pufferüberlauf führen. Ein in böser Absicht authentifizierter Benutzer könnte in der Lage sein, diesen Überlauf auszulösen, der zur willkürlichen Ausführung von Code mit den Rechten des FTP-Servers führen kann. Mit diesem Update wird das Problem durch korrekte Behandlung der Grenzbedingungen behoben.
Flash Player
CVE-ID: CVE-2005-2628, CVE-2006-0024
Verfügbar für: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Das Abspielen von Flash-Inhalten kann zur Ausführung von willkürlichem Code führen
Beschreibung: Adobe Flash Player enthält kritische Sicherheitslücken, die zur Ausführung von beliebigem Code führen können, wenn speziell erstellte Dateien geladen werden. Weitere Informationen finden sich auf der Adobe-Website unter http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. Dieses Update behebt das Problem durch die Integration von Flash Player Version 8.0.24.0.
ImageIO
CVE-ID: CVE-2006-1552
Verfügbar für: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Das Anzeigen eines in böser Absicht erstellten JPEG-Bildes kann zur Ausführung von willkürlichem Code führen
Beschreibung: Ein Integer-Überlauf bei der Verarbeitung von JPEG-Metadaten kann zu einem Heap-Pufferüberlauf führen. Durch die gezielte Herstellung eines Bildes mit fehlerhaften JPEG-Metadaten kann ein Angreifer beim Anzeigen des Bildes die Ausführung von willkürlichem Code veranlassen. Dieses Update behebt das Problem durch Ausführen einer zusätzlichen Bildüberprüfung. Dieses Problem betrifft keine Systeme vor Mac OS X v10.4. Wir danken Brent Simmons von NewsGator Technologies, Inc. für die Meldung dieses Problems.
Schlüsselbund
CVE-ID: CVE-2006-1446
Verfügbar für: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Eine Anwendung kann möglicherweise Schlüsselbundelemente verwenden, wenn der Schlüsselbund gesperrt ist
Beschreibung: Wenn ein Schlüsselbund gesperrt ist, ist es für Anwendungen nicht möglich, auf die darin enthaltenen Schlüsselbundeinträge zuzugreifen, ohne vorher anzufordern, dass der Schlüsselbund entsperrt wird. Eine Anwendung, die einen Verweis auf ein Schlüsselbundelement erhalten hat, bevor der Schlüsselbund gesperrt wurde, kann jedoch unter bestimmten Umständen in der Lage sein, dieses Schlüsselbundelement weiterhin zu verwenden, unabhängig davon, ob der Schlüsselbund gesperrt oder entsperrt ist. Dieses Update behebt das Problem, indem Anfragen zur Verwendung von Schlüsselbundelementen abgelehnt werden, wenn der Schlüsselbund gesperrt ist. Danke an Tobias Hahn von der HU Berlin für die Meldung dieses Problems.
LaunchServices
CVE-ID: CVE-2006-1447
Verfügbar für: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Das Aufrufen einer bösartigen Website kann zur Ausführung von willkürlichem Code führen
Beschreibung: Lange Dateiendungen können die Download-Validierung daran hindern, die Anwendung, mit der ein Objekt geöffnet werden kann, korrekt zu bestimmen. Dadurch kann ein Angreifer die Download-Validierung umgehen und Safari dazu bringen, automatisch unsichere Inhalte zu öffnen, wenn die Option „Sichere Dateien nach dem Download öffnen“ aktiviert ist und bestimmte Programme nicht installiert sind. Dieses Update behebt das Problem durch eine verbesserte Überprüfung der Dateiendung. Dieses Problem betrifft keine Systeme vor Mac OS X v10.4.
libcurl
CVE-ID: CVE-2005-4077
Verfügbar für: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Die URL-Verarbeitung in libcurl kann zur Ausführung von willkürlichem Code führen
Beschreibung: Die Open-Source-HTTP-Bibliothek libcurl enthält Pufferüberläufe bei der Verarbeitung von URLs. Anwendungen, die curl für die URL-Verarbeitung verwenden, können das Problem auslösen und zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch die Integration der libcurl-Version 7.15.1. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X v10.4 sind.
Mail
CVE-ID: CVE-2006-1449
Verfügbar für: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Das Anzeigen einer böswilligen E-Mail-Nachricht kann zur Ausführung von willkürlichem Code führen
Beschreibung: Durch die Vorbereitung einer speziell erstellten E-Mail-Nachricht mit MacMIME-gekapselten Anhängen kann ein Angreifer einen Integer-Überlauf auslösen. Dies kann zur Ausführung von willkürlichem Code mit den Rechten des Benutzers führen, der Mail ausführt. Dieses Update behebt das Problem durch eine zusätzliche Überprüfung von Nachrichten.
Mail
CVE-ID: CVE-2006-1450
Verfügbar für: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Das Anzeigen einer böswilligen E-Mail-Nachricht kann zur Ausführung von willkürlichem Code führen
Beschreibung: Der Umgang mit ungültigen Farbinformationen in E-Mails mit angereichertem Text könnte die Zuordnung und Initialisierung von willkürlichen Klassen verursachen. Dies kann zur Ausführung von willkürlichem Code mit den Rechten des Benutzers führen, der Mail ausführt. Dieses Update behebt das Problem, indem es fehlerhafte angereicherte Textdaten korrekt verarbeitet.
MySQL Manager
CVE-ID: CVE-2006-1451
Verfügbar für: Mac OS X Server v10.4.6
Auswirkung: Auf die MySQL-Datenbank kann mit einem leeren Passwort zugegriffen werden
Beschreibung: Während der Ersteinrichtung eines MySQL-Datenbankservers mit dem MySQL Manager wird möglicherweise das „Neue Root-Kennwort für MySQL“ angegeben. Dieses Passwort wird jedoch nicht verwendet. Infolgedessen bleibt das Root-Kennwort für MySQL leer. Ein lokaler Benutzer kann dann Zugriff auf die MySQL-Datenbank mit vollen Berechtigungen erhalten. Dieses Update behebt das Problem, indem es sicherstellt, dass das eingegebene Kennwort gespeichert wird. Dieses Problem betrifft keine Systeme vor Mac OS X Server v10.4. Danke an Ben Low von der University of New South Wales für die Meldung dieses Problems.
Vorschau
CVE-ID: CVE-2006-1452
Verfügbar für: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Das Navigieren in einer in böswilliger Absicht erstellten Verzeichnishierarchie kann zur Ausführung von willkürlichem Code führen
Beschreibung: Beim Navigieren in sehr tiefen Verzeichnishierarchien in der Vorschau kann ein Stapelpufferüberlauf ausgelöst werden. Durch die die gezielte Herstellung einer solchen Verzeichnishierarchie ist es einem Angreifer möglich, willkürlichen Code auszuführen, wenn die Verzeichnisse in der Vorschau geöffnet werden. Dieses Problem betrifft keine Systeme vor Mac OS X v10.4.
QuickDraw
CVE-ID: CVE-2006-1453, CVE-2006-1454
Verfügbar für: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten PICT-Bilddatei kann zur Ausführung von willkürlichem Code führen
Beschreibung: Zwei Probleme betreffen QuickDraw beim Verarbeiten von PICT-Bilddateien. Fehlerhaft geformte Schriftinformationen können zu einem Stapelpufferüberlauf führen und fehlerhaft geformte Bilddaten können einen Heap-Pufferüberlauf auslösen. Durch die gezielte Herstellung einer schädlichen PICT-Bilddatei könnte ein Angreifer die Ausführung von willkürlichem Code veranlassen, wenn das Bild angezeigt wird. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von PICT-Bilddateien durchführt. Wir danken Mike Price von McAfee AVERT Labs für die Meldung dieses Problems.
QuickTime Streaming Server
CVE-ID: CVE-2006-1455
Verfügbar für: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6
Auswirkung: Ein fehlerhafter QuickTime-Film kann den QuickTime Streaming Server zum Absturz bringen
Beschreibung: Ein QuickTime-Film mit einer fehlenden Spur kann einen Rückverweis auf einen Nullzeiger verursachen, der den Serverprozess zum Absturz bringt. Dies führt dazu, dass aktive Client-Verbindungen unterbrochen werden. Der Server wird jedoch automatisch neu gestartet. Dieses Update behebt das Problem, indem es einen Fehler erzeugt, wenn fehlerhafte Filmdateien gefunden werden.
QuickTime Streaming Server
CVE-ID: CVE-2006-1456
Verfügbar für: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6
Auswirkung: In böswilliger Absicht erstellte RTSP-Anfragen können zu Abstürzen oder zur Ausführung von willkürlichem Code führen
Beschreibung: Durch die gezielte Herstellung einer RTSP-Anfrage kann ein Angreifer möglicherweise einen Pufferüberlauf während der Nachrichtenprotokollierung auslösen. Dies kann zur Ausführung von willkürlichem Code mit den Berechtigungen des QuickTime Streaming Server führen. Mit diesem Update wird das Problem durch korrekte Behandlung der Grenzbedingungen behoben. Danke an das Forschungsteam von Mu Security für die Meldung dieses Problems.
Ruby
CVE-ID: CVE-2005-2337
Verfügbar für: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Die "safe-level restrictions" in Ruby können umgangen werden
Beschreibung: Die Skriptsprache Ruby enthält einen so genannten Safe-Levels-Mechanismus, der dazu dient, bestimmte Operationen einzuschränken. Dieser Mechanismus wird am häufigsten verwendet, wenn privilegierte Ruby-Programme oder Ruby-Netzwerkprogramme ausgeführt werden. Unter bestimmten Umständen kann ein Angreifer die Beschränkungen in solchen Programmen umgehen. Programme, die diesen Mechanismus nicht verwenden, sind nicht betroffen. Mit diesem Update wird das Problem behoben, indem sichergestellt wird, dass der Safe-Levels-Mechanismus nicht umgangen werden kann.
Safari
CVE-ID: CVE-2006-1457
Verfügbar für: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Auswirkung: Der Besuch von schadhaften Websites kann zur Manipulation von Dateien oder zur Ausführung von willkürlichem Code führen
Beschreibung: Wenn die Safari-Option „Sichere Dateien nach dem Download öffnen“ aktiviert ist, werden Archive automatisch expandiert. Falls das Archiv einen symbolischen Link enthält, wird der Ziel-symlink möglicherweise auf den Schreibtisch des Benutzers bewegt und ausgeführt. Mit diesem Update wird das Problem behoben, indem geladene symbolische Links nicht aufgelöst werden. Dieses Problem betrifft keine Systeme vor Mac OS X v10.4.