Informationen zum Sicherheitsinhalt von Mac OS X Lion 10.7.2 und zum Sicherheitsupdate 2011-006

Dieses Dokument beschreibt den Sicherheitsinhalt von Mac OS X Lion 10.7.2 und das Sicherheitsupdate 2011-006.

In diesem Dokument werden der Sicherheitsinhalt von Mac OS X Lion 10.7.2 und das Sicherheitsupdate 2011-006 beschrieben, die über die Softwareaktualisierung in den Systemeinstellungen oder unter Apple-Downloads geladen und installiert werden können.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
 

Mac OS X Lion 10.7.2 und Sicherheitsupdate 2011-006

  • Apache

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Mehrere Schwachstellen in Apache

    Beschreibung: Apache wird auf Version 2.2.20 aktualisiert, um mehrere Schwachstellen zu beheben, die im schlimmsten Fall zu einem Denial-of-Service führen können. CVE-2011-0419 betrifft keine Mac OS X Lion-Systeme. Weitere Informationen finden Sie auf der Apache-Website unter http://httpd.apache.org/.

    CVE-ID

    CVE-2011-0419

    CVE-2011-3192

  • Programm-Firewall

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Das Ausführen einer Binärdatei mit einem in böswilliger Absicht erstellten Namen kann zur Ausführung von willkürlichem Code mit erhöhten Benutzerrechten führen

    Beschreibung: In der Debug-Protokollierung der Programm-Firewall existierte eine Format-String-Schwachstelle.

    CVE-ID

    CVE-2011-0185: Anonymer Benutzer

  • ATS

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Das Anzeigen oder Laden eines Dokuments, das in böswilliger Absicht erstellte eingebettete Schriften enthält, kann zur Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung von Type 1-Schriften in ATS trat ein Problem mit der Vorzeichenbehaftung auf. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus.

    CVE-ID

    CVE-2011-3437

  • ATS

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Das Anzeigen oder Laden eines Dokuments, das in böswilliger Absicht erstellte eingebettete Schriften enthält, kann zur Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung von Type 1-Schriften in ATS trat ein Problem mit grenzüberschreitendem Speicherzugriff auf. Das Problem betrifft keine Systeme mit Mac OS X Lion.

    CVE-ID

    CVE-2011-0229: Will Dormann von CERT/CC

  • ATS

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Programme, die die ATSFontDeactivate-API verwenden, können einer unerwarteten Programmbeendigung oder der Ausführung von willkürlichem Code ausgesetzt sein

    Beschreibung: In der ATSFontDeactivate-API existierte ein Pufferüberlaufproblem.

    CVE-ID

    CVE-2011-0230: Steven Michaud von Mozilla

  • BIND

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Mehrere Schwachstellen in BIND 9.7.3

    Beschreibung: In BIND 9.7.3 existierten mehrere Denial-of-Service-Probleme. Diese Probleme werden durch Aktualisieren von BIND auf die Version 9.7.3-P3 behoben.

    CVE-ID

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Mehrere Schwachstellen in BIND

    Beschreibung: In BIND existierten mehrere Denial-of-Service-Probleme. Diese Probleme werden durch Aktualisieren von BIND auf Version 9.6-ESV-R4-P3 behoben.

    CVE-ID

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Richtlinie für vertrauenswürdige Zertifikate

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Root-Zertifikate wurden aktualisiert

    Beschreibung: Mehrere vertrauenswürdige Zertifikate wurden der Liste der System-Roots hinzugefügt. Mehrere bereits vorhandene Zertifikate wurden auf die neueste Version aktualisiert. Die vollständige Liste der erkannten System-Roots kann über das Programm "Schlüsselbundverwaltung" angezeigt werden.

  • CFNetwork

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Safari speichert möglicherweise Cookies, die es laut Konfiguration nicht akzeptieren soll

    Beschreibung: Es bestand ein Synchronisierungsproblem beim Verarbeiten von Cookie-Richtlinien in CFNetwork. Einige Cookie-Einstellungen von Safari werden nicht beachtet, sodass Websites Cookies setzen können, die bei Beachtung der Einstellung nicht zugelassen würden. Dieses Update behebt das Problem durch eine verbesserte Verarbeitung der Cookie-Speicherung.

    CVE-ID

    CVE-2011-0231: Martin Tessarek, Steve Riggins von Geeks R Us, Justin C. Walker und Stephen Creswell

  • CFNetwork

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website kann zur Offenlegung vertraulicher Daten führen

    Beschreibung: Es bestand ein Problem beim Verarbeiten von HTTP-Cookies in CFNetwork. Beim Zugriff auf eine in böswilliger Absicht erstellte HTTP- oder HTTPS-URL könnte CFNetwork fälschlicherweise Cookies für eine Domain an einen Server außerhalb dieser Domain senden. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen von Facebook

  • CoreFoundation

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Die Anzeige einer in böswilliger Absicht erstellten Website oder E-Mail-Nachricht kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung von String-Tokenisierungen in CoreFoundation gab es Speicherfehler. Das Problem betrifft keine Systeme mit Mac OS X Lion. Mit diesem Update wurde das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreMedia

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zur ungewollten Offenlegung von Videodaten einer anderen Site führen

    Beschreibung: Bei der Verarbeitung von Cross-Site-Umleitungen in CoreMedia bestand ein Cross-Origin-Problem. Das Problem wird durch ein verbessertes Origin-Tracking behoben.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai und Microsoft Vulnerability Research (MSVR)

  • CoreMedia

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung von QuickTime-Filmdateien konnte es zu mehreren Speicherfehlern kommen. Diese Probleme betreffen keine Systeme mit Mac OS X Lion.

    CVE-ID

    CVE-2011-0224: Apple

  • CoreProcesses

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Eine Person mit physischem Zugang zu einem System kann die Bildschirmsperre teilweise umgehen

    Beschreibung: Ein Systemfenster wie z. B. eine VPN-Kennwort-Eingabeaufforderung, das während der Bildschirmsperre angezeigt wurde, kann während der Bildschirmsperre Tastatureingaben angenommen haben. Dieses Problem wird behoben, indem Systemfenster daran gehindert werden, Tastatureingaben während der Bildschirmsperre anzufordern. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus.

    CVE-ID

    CVE-2011-0260: Clint Tseng von der University of Washington, Michael Kobb und Adam Kemp

  • CoreStorage

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Beim Konvertieren in FileVault werden nicht alle vorhandenen Daten gelöscht

    Beschreibung: Nach dem Aktivieren von FileVault wurden ca. 250 MB am Anfang des Volumes in einem ungenutzten Bereich auf der Festplatte unverschlüsselt gelassen. Nur Daten, die bereits vor der Aktivierung von FileVault auf dem Volume vorhanden waren, wurden unverschlüsselt gelassen. Dieses Problem wird behoben, indem dieser Bereich beim Aktivieren von FileVault und bei der ersten Nutzung eines verschlüsselten Volumes, das von diesem Problem betroffen ist, gelöscht wird. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus.

    CVE-ID

    CVE-2011-3212: Judson Powers von ATC-NY

  • Dateisysteme

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann HTTPS-Serverzertifikate manipulieren, was zur Offenlegung vertraulicher Daten führen kann

    Beschreibung: Es bestand ein Problem beim Umgang mit WebDAV-Volumes auf HTTPS-Servern. Wenn der Server eine Zertifikatskette vorlegte, die nicht automatisch verifiziert werden konnte, wurde eine Warnung angezeigt und die Verbindung wurde geschlossen. Wenn der Benutzer im Warndialogfeld auf die Schaltfläche "Fortfahren" geklickt hat, wurde bei der nächsten Verbindung mit dem Server jedes Zertifikat akzeptiert. Ein Angreifer in einer privilegierten Netzwerkposition könnte die Verbindung manipuliert haben, um an vertrauliche Daten zu gelangen oder im Namen des Benutzers Maßnahmen auf dem Server durchzuführen. Dieses Update behebt das Problem, indem das bei der zweiten Verbindung erhaltene Zertifikat validiert wird, um zu überprüfen, ob es sich dabei um dasselbe Zertifikat handelt, das dem Benutzer ursprünglich vorgelegt wurde.

    CVE-ID

    CVE-2011-3213: Apple

  • IOGraphics

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Eine Person mit physischem Zugang kann die Bildschirmsperre umgehen

    Beschreibung: Es bestand ein Problem mit der Bildschirmsperre bei der Verwendung von Apple Cinema Displays. Wenn ein Kennwort zur Beendigung des Ruhezustands erforderlich ist, kann eine Person mit physischem Zugang womöglich auf das System zugreifen, ohne ein Kennwort einzugeben, wenn sich der Monitor im Ruhezustand befindet. Dieses Update behebt das Problem, indem sichergestellt wird, dass die Bildschirmsperre im Ruhezustand des Monitors korrekt aktiviert ist. Das Problem betrifft keine Systeme mit Mac OS X Lion.

    CVE-ID

    CVE-2011-3214: Apple

  • iChat Server

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Ein Remote-Angreifer kann dafür sorgen, dass der Jabber-Server unverhältnismäßig viele Systemressourcen verbraucht

    Beschreibung: Es gab ein Problem bei der Verarbeitung von externen XML-Entitäten in jabberd2, einem Server für das Extensible Messaging and Presence Protocol (XMPP). jabberd2 erweitert externe Entitäten in eingehenden Anforderungen. Dies ermöglicht es einem Angreifer, Systemressourcen sehr schnell aufzubrauchen, sodass legitimen Nutzern des Servers der Dienst verweigert wird. Mit diesem Update wird das Problem behoben, indem die Entitätserweiterung in eingehenden Anforderungen deaktiviert wird.

    CVE-ID

    CVE-2011-1755

  • Kernel

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Eine Person mit physischem Zugang kann auf das Kennwort des Benutzers zugreifen.

    Beschreibung: Ein Logikfehler im DMA-Schutz des Kernel erlaubte einen Firewire-DMA am Anmeldefenster, beim Starten und Herunterfahren, jedoch nicht an der Bildschirmsperre. Dieses Update behebt das Problem, indem ein Firewire-DMA immer verhindert wird, wenn der Benutzer nicht angemeldet ist.

    CVE-ID

    CVE-2011-3215: Passware, Inc.

  • Kernel

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Ein unberechtigter Benutzer kann die Dateien eines anderen Benutzers in einem freigegebenen Verzeichnis löschen

    Beschreibung: Es gab einen Logikfehler bei der Verarbeitung von Dateilöschungen durch den Kernel in Verzeichnissen mit Sticky Bit.

    CVE-ID

    CVE-2011-3216: Gordon Davisson von Crywolf, Linc Davis, R. Dormer und Allan Schmid und Oliver Jeckel von brainworks Training

  • libsecurity

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Die Anzeige einer in böswilliger Absicht erstellten Website oder E-Mail-Nachricht kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Es gab ein Fehlerbehandlungsproblem beim Parsen einer nicht standardisierten Zertifikatsrückruflisten-Erweiterung.

    CVE-ID

    CVE-2011-3227: Richard Godbee von Virginia Tech

  • Mailman

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Mehrere Schwachstellen in Mailman 2.1.14

    Beschreibung: In Mailman 2.1.14 existierten mehrere Cross-Site-Scripting-Probleme. Diese Probleme wurden durch eine verbesserte Zeichencodierung in der HTML-Ausgabe behoben. Weitere Informationen erhalten Sie auf der Mailman-Website unter http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html. Dieses Problem betrifft keine Mac OS X Lion-Systeme.

    CVE-ID

    CVE-2011-0707

  • MediaKit

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten Festplatten-Images kann zu einer unerwarteten Programmbeendigung oder der Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung von Festplatten-Images gab es mehrere Speicherfehler. Diese Probleme betreffen keine Systeme mit Mac OS X Lion.

    CVE-ID

    CVE-2011-3217: Apple

  • Open Directory

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Jeder Benutzer kann die Kennwortdaten eines anderen lokalen Benutzers lesen.

    Beschreibung: In Open Directory bestand ein Zugriffssteuerungsproblem. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus.

    CVE-ID

    CVE-2011-3435: Arek Dreyer von Dreyer Network Consultants, Inc und Patrick Dunstan von defenseindepth.net

  • Open Directory

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Ein authentifizierter Benutzer kann das Kennwort des Accounts ändern, ohne das aktuelle Kennwort angeben zu müssen.

    Beschreibung: In Open Directory bestand ein Zugriffssteuerungsproblem. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus.

    CVE-ID

    CVE-2011-3436: Patrick Dunstan von defenceindepth.net

  • Open Directory

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Ein Benutzer kann sich ohne Kennwort anmelden

    Beschreibung: Wenn Open Directory über RFC2307 oder benutzerdefinierte Zuordnungen an einen LDAPv3-Server gebunden ist, sodass es kein AuthenticationAuthority-Attribut für einen Benutzer gibt, kann sich ein LDAP-Benutzer anmelden, ohne ein Kennwort angeben zu müssen. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus.

    CVE-ID

    CVE-2011-3226: Jeffry Strunk von der University of Texas in Austin, Steven Eppler von der Colorado Mesa University, Hugh Cole-Baker und Frederic Metoz vom Institut de Biologie Structurale

  • PHP

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung von Type 1-Schriften in FreeType trat ein Problem mit der Vorzeichenbehaftung auf. Das Problem wird durch eine Aktualisierung von FreeType auf Version 2.4.6 behoben. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus. Weitere Informationen finden Sie auf der FreeType-Website unter http://www.freetype.org/.

    CVE-ID

    CVE-2011-0226

  • PHP

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Mehrere Schwachstellen in libpng 1.4.3

    Beschreibung: libpng wird auf Version 1.5.4 aktualisiert, um mehrere Schwachstellen zu beseitigen, die im schlimmsten Fall zur Ausführung von willkürlichem Code führen können. Weitere Informationen finden Sie auf der libpng-Website unter http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Mehrere Schwachstellen in PHP 5.3.4

    Beschreibung: PHP wird auf Version 5.3.6 aktualisiert, um mehrere Schwachstellen zu beseitigen, die im schlimmsten Fall zur Ausführung von willkürlichem Code führen können. Diese Probleme betreffen keine Systeme mit Mac OS X Lion. Weitere Informationen finden Sie auf der PHP-Website unter http://www.php.net/.

    CVE-ID

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Mehrere Schwachstellen in Postfix

    Beschreibung: Postfix wird auf Version 2.5.14 aktualisiert, um mehrere Schwachstellen zu beheben, die im schlimmsten Fall dazu führen konnten, dass ein Angreifer in einer privilegierten Netzwerkposition E-Mail-Sitzungen manipulieren konnte, um vertrauliche Daten aus dem verschlüsselten Datenverkehr abzurufen. Systeme mit Mac OS X Lion sollten davon nicht betroffen sein. Weitere Informationen finden Sie auf der Postfix-Website unter http://www.postfix.org/announcements/postfix-2.7.3.html.

    CVE-ID

    CVE-2011-0411

    CVE-2011-1720

  • Python

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Mehrere Schwachstellen in Python

    Beschreibung: In Python existierten mehrere Schwachstellen, die im schlimmsten Fall zur Ausführung von willkürlichem Code führen können. Mit diesem Update wird das Problem durch Anwenden von Patches aus dem Python-Projekt behoben. Weitere Informationen erhalten Sie auf der Python-Website unter http://www.python.org/download/releases/.

    CVE-ID

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung von Filmdateien in QuickTime kann es zu mehreren Speicherfehlern kommen.

    CVE-ID

    CVE-2011-3228: Apple

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Die Verarbeitung von STSC-Atomen in QuickTime-Filmdateien führte zu einem Stapelpufferüberlauf. Das Problem betrifft keine Systeme mit Mac OS X Lion.

    CVE-ID

    CVE-2011-0249: Matt 'j00ru' Jurczyk in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Die Verarbeitung von STSS-Atomen in QuickTime-Filmdateien führte zu einem Stapelpufferüberlauf. Das Problem betrifft keine Systeme mit Mac OS X Lion.

    CVE-ID

    CVE-2011-0250: Matt 'j00ru' Jurczyk in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Die Verarbeitung von STSZ-Atomen in QuickTime-Filmdateien führte zu einem Stapelpufferüberlauf. Das Problem betrifft keine Systeme mit Mac OS X Lion.

    CVE-ID

    CVE-2011-0251: Matt 'j00ru' Jurczyk in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Die Verarbeitung von STTS-Atomen in QuickTime-Filmdateien führte zu einem Stapelpufferüberlauf. Das Problem betrifft keine Systeme mit Mac OS X Lion.

    CVE-ID

    CVE-2011-0252: Matt 'j00ru' Jurczyk in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann beim Anzeigen von Vorlagen-HTML ein Skript in die lokale Domain einfügen

    Beschreibung: Es bestand ein Cross-Site-Scripting-Problem im Export "Für Web sichern" von QuickTime Player. Die von dieser Funktion erzeugten Vorlagen-HTML-Dateien verwiesen auf eine Skriptdatei eines nicht verschlüsselten Ursprungs. Ein Angreifer in einer privilegierten Netzwerkposition kann böswillige Skripte in die lokale Domain einfügen, wenn der Benutzer lokal eine Vorlagendatei anzeigt. Dieses Problem wurde durch Entfernen des Verweises auf ein Online-Skript behoben. Das Problem betrifft keine Systeme mit Mac OS X Lion.

    CVE-ID

    CVE-2011-3218: Aaron Sigel von vtty.com

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung von H.264-codierten Filmdateien in QuickTime existierte ein Pufferüberlauf.

    CVE-ID

    CVE-2011-3219: Damian Put in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Die Anzeige einer in böswilliger Absicht erstellten Filmdatei kann zur Offenlegung von Speicherinhalten führen

    Beschreibung: Bei der QuickTime-Verarbeitung von URL-Daten in Filmdateien bestand ein Problem mit nicht initialisiertem Speicherzugriff.

    CVE-ID

    CVE-2011-3220: Luigi Auriemma in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Bei der QuickTime-Verarbeitung der Atom-Hierarchie in einer Filmdatei bestand ein Implementierungsproblem.

    CVE-ID

    CVE-2011-3221: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten FlashPix-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung von FlashPix-Dateien in QuickTime existierte ein Pufferüberlauf.

    CVE-ID

    CVE-2011-3222: Damian Put in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung von FLIC-Dateien in QuickTime existierte ein Pufferüberlauf.

    CVE-ID

    CVE-2011-3223: Matt 'j00ru' Jurczyk in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  • SMB File Server

    Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Ein Gastbenutzer kann freigegebene Ordner durchsuchen

    Beschreibung: Im SMB File Server existierte ein Zugriffssteuerungsproblem. Das Verwehren des Gastzugriffs auf einen freigegebenen Ordner hinderte zwar den Benutzer '_unknown' daran, auf die Freigabe zuzugreifen, hinderte jedoch keine Gäste (Benutzer 'nobody') daran. Dieses Problem wird durch Anwenden der Zugriffssteuerung auf den Gastbenutzer behoben. Dieses Problem wirkt sich nicht auf Systeme vor Mac OS X Lion aus.

    CVE-ID

    CVE-2011-3225

  • Tomcat

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Mehrere Schwachstellen in Tomcat 6.0.24

    Beschreibung: Tomcat wird auf Version 6.0.32 aktualisiert, um mehrere Schwachstellen zu beheben, die im schlimmsten Fall zu Cross-Site-Scripting-Angriffen führen können. Tomcat wird nur auf Mac OS X Server-Systemen bereitgestellt. Das Problem betrifft keine Systeme mit Mac OS X Lion. Weitere Informationen finden Sie auf der Tomcat-Website unter http://tomcat.apache.org/.

    CVE-ID

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Benutzerdokumentation

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann App Store-Hilfeinhalte manipulieren, die zur Ausführung von willkürlichem Code führen können

    Beschreibung: Die App Store-Hilfeinhalte wurden über HTTP aktualisiert. Dieses Update behebt das Problem durch eine Aktualisierung der App Store-Hilfeinhalte über HTTPS. Das Problem betrifft keine Systeme mit Mac OS X Lion.

    CVE-ID

    CVE-2011-3224: Aaron Sigel von vtty.com und Brian Mastenbrook

  • Webserver

    Verfügbar für: Mac OS X Server 10.6.8

    Auswirkung: Clients können möglicherweise nicht auf Webdienste zugreifen, die eine Digest-Authentifizierung benötigen

    Beschreibung: Ein Problem bei der Verarbeitung der HTTP-Digest-Authentifizierung wurde behoben. Benutzern wird möglicherweise der Zugriff auf die Ressourcen des Servers verweigert, obwohl die Serverkonfiguration den Zugriff zulassen sollte. Dieses Problem stellt kein Sicherheitsrisiko dar. Es wurde behoben, um die Nutzung stärkerer Authentifizierungsmechanismen zu ermöglichen. Systeme mit OS X Lion Server sind von diesem Problem nicht betroffen.

  • X11

    Verfügbar für: Mac OS X 10.6.8, Mac OS Server 10.6.8, Mac OS X Lion 10.7 und 10.7.1, OS X Lion Server 10.7 und 10.7.1

    Auswirkung: Mehrere Schwachstellen in libpng

    Beschreibung: In libpng existierten mehrere Schwachstellen, die im schlimmsten Fall zur Ausführung von willkürlichem Code führen können. Diese Probleme wurden behoben, indem libpng auf Mac OS X Lion-Systemen auf Version 1.5.4 und auf Mac OS X 10.6-Systemen auf Version 1.2.46 aktualisiert wurde. Weitere Informationen finden Sie auf der libpng-Website unter http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: