Informationen zum Sicherheitsinhalt von OS X Mountain Lion 10.8.3 und dem Sicherheitsupdate 2013-001

Dieses Dokument beschreibt den Sicherheitsinhalt von OS X Mountain Lion 10.8.3 und dem Sicherheitsupdate 2013-001.

OS X Mountain Lion 10.8.3 und das Sicherheitsupdate 2013-001 können über die Softwareaktualisierung oder über die Apple Support-Downloads geladen und installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

Hinweis: OS X Mountain Lion 10.8.3 enthält Safari 6.0.3. Weitere Details hierzu finden Sie unter Informationen zum Sicherheitsinhalt von Safari 6.0.3.

OS X Mountain Lion 10.8.3 und Sicherheitsupdate 2013-001

  • Apache

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2

    Auswirkung: Ein Angreifer kann unter Umständen auf Verzeichnisse zugreifen, die mit HTTP-Authentifizierung geschützt sind, ohne die korrekten Zugangsdaten zu kennen

    Beschreibung: Bei der Verarbeitung von URIs mit ignorierbaren Unicode-Zeichenfolgen bestand ein Problem mit der Umwandlung von URIs in kanonische Formate. Dieses Problem wurde durch Aktualisieren von mod_hfs_apple behoben, sodass der Zugriff auf URIs mit ignorierbaren Unicode-Zeichenfolgen unterbunden wird.

    CVE-ID

    CVE-2013-0966: Clint Ruoho von Laconic Security

  • CoreTypes

    Verfügbar für: Mac OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2.

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website konnte dazu führen, dass ein Java Web Start-Programm automatisch gestartet wird, selbst wenn das Java-Plug-In deaktiviert ist.

    Beschreibung: Java Web Start-Programme wurden ausgeführt, selbst wenn das Java-Plug-In deaktiviert war. Dieses Problem wurde durch Entfernen der JNLP-Dateien von der Liste der sicheren CoreTypes-Dateitypen behoben. Dadurch wird das Web Start-Programm erst ausgeführt, wenn der Benutzer es im Verzeichnis "Downloads" öffnet.

    CVE-ID

    CVE-2013-0967

  • Internationale Komponenten für Unicode

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: Es bestand ein Problem mit der Umwandlung der EUC-JP-Codierung in kanonische Formate, was zu einem Cross-Site-Scripting-Angriff auf EUC-JO-codierte Websites führen konnte. Dieses Problem wurde durch Aktualisierung der EUC-JP-Zuordnungstabelle behoben.

    CVE-ID

    CVE-2011-3058: Masato Kinugawa

  • Identitätsdienste

    Verfügbar für: Mac OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2.

    Auswirkung: Die Authentifizierung mittels zertifikatbasierter Apple-ID-Authentifizierung wird möglicherweise umgangen

    Beschreibung: Es lag ein Fehlerbehandlungsproblem bei den Identitätsdiensten vor. Wenn das Apple-ID-Zertifikat des Benutzers nicht überprüft werden konnte, wurde die Apple-ID des Benutzers als leerer String angenommen. Tritt dies bei mehreren Systemen verschiedener Benutzer auf, sprechen Programme, die sich auf diese Identitätsbestimmung stützen, irrtümlich Vertrauen aus. Dieses Problem wurde behoben, indem sichergestellt wird, dass die Antwort "NULL" anstelle eines leeren Strings ausgegeben wird.

    CVE-ID

    CVE-2013-0963

  • ImageIO

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2

    Auswirkung: Das Anzeigen einer in böser Absicht erstellten TIFF-Datei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von TIFF-Bildern durch libtiff konnte zu einem Pufferüberlauf führen. Dieses Problem wurde durch eine zusätzliche Validierung von TIFF-Bildern behoben.

    CVE-ID

    CVE-2012-2088

  • IOAcceleratorFamily

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.2

    Auswirkung: Das Anzeigen eines in böser Absicht erstellten Bildes kann zu einem unerwarteten Systemabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Grafikdaten konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-0976: Ein anonymer Forscher

  • Kernel

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.2

    Auswirkung: In böser Absicht erstellte oder kompromittierte Programme sind unter Umständen in der Lage, Adressen im Kernel zu ermitteln

    Beschreibung: Bei der Verarbeitung von APIs wurden in Bezug auf Kernel-Erweiterungen Informationen offengelegt. Antworten mit OSBundleMachOHeaders-Schlüssel enthielten möglicherweise Kernel-Adressen, die zur Umgehung der ASLR-Sicherheit (Address Space Layout Randomization) genutzt werden können. Dieses Problem wurde durch ein Unsliding der Adressen vor dem Zurücksenden behoben.

    CVE-ID

    CVE-2012-3749: Mark Dowd von Azimuth Security, Eric Monti von Square und weitere anonyme Wissenschaftler

  • Anmeldefenster

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.2

    Auswirkung: Ein Angreifer, der Zugriff auf die Tastatur hat, kann möglicherweise die Systemkonfiguration ändern

    Beschreibung: Es bestand ein logischer Fehler in der VoiceOver-Verarbeitung des Anmeldefensters, wodurch ein Angreifer, der Zugriff auf die Tastatur hat, die Systemeinstellungen starten und die Systemkonfiguration ändern konnte. Dieses Problem wurde behoben, indem VoiceOver daran gehindert wurde, Programme im Anmeldefenster zu starten.

    CVE-ID

    CVE-2013-0969: Eric A. Schulman von Purpletree Labs

  • Nachrichten

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.2

    Auswirkung: Durch Klicken auf einen Link in "Nachrichten" wird möglicherweise ohne Aufforderung ein FaceTime-Anruf gestartet.

    Beschreibung: Durch Klicken auf eine speziell formatierte URL mit dem Format "FaceTime://" in "Nachrichten" kann unter Umständen die standardmäßige Bestätigungsaufforderung umgangen werden. Dieses Problem wurde durch eine zusätzliche Validierung von URLs mit dem Format "FaceTime://" behoben.

    CVE-ID

    CVE-2013-0970: Aaron Sigel von vtty.com

  • Nachrichten-Server

    Verfügbar für: Mac OS X Server 10.6.8, Mac OS X Lion Server 10.7 bis 10.7.5

    Auswirkung: Ein Remote-Angreifer könnte verbundene Jabber-Nachrichten umleiten

    Beschreibung: Bei der Verarbeitung von Rückruf-Ergebnismeldungen durch den Jabber-Server bestand ein Problem. Ein Angreifer konnte den Jabber-Server dazu bringen, Informationen preiszugeben, die für Benutzer auf verbundenen Servern bestimmt waren. Das Problem wurde durch die verbesserte Verarbeitung der Rückruf-Ergebnismeldungen behoben.

    CVE-ID

    CVE-2012-3525

  • PDFKit

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2

    Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Freihandanmerkungen in PDF-Dateien konnte ein Use-after-free-Problem auftreten. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2013-0971: Tobias Klein in Zusammenarbeit mit der Zero Day Initiative von HP TippingPoint

  • Podcast Producer Server

    Verfügbar für: Mac OS X Server 10.6.8, Mac OS X Lion Server 10.7 bis 10.7.5

    Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen

    Beschreibung: Bei der Verarbeitung der XML-Parameter in Ruby on Rails bestand ein Type-Casting-Problem. Dieses Problem wurde durch Deaktivieren der XML-Parameter in der von Podcast Producer Server verwendeten Rails-Implementierung behoben.

    CVE-ID

    CVE-2013-0156

  • Podcast Producer Server

    Verfügbar für: Mac OS X Lion Server 10.7 bis 10.7.5

    Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen

    Beschreibung: Bei der Verarbeitung der JSON-Daten in Ruby on Rails bestand ein Type-Casting-Problem. Dieses Problem wurde durch Wechseln zum JSONGem-Backend für die JSON-Analyse in der von Podcast Producer Server verwendeten Rails-Implementierung behoben.

    CVE-ID

    CVE-2013-0333

  • PostgreSQL

    Verfügbar für: Mac OS X Server 10.6.8, Mac OS X Lion Server 10.7 bis 10.7.5

    Auswirkung: Mehrere Schwachstellen in PostgreSQL

    Beschreibung: PostgreSQL wurde auf Version 9.1.5 aktualisiert, um verschiedene Schwachstellen zu beheben, von denen die schwerwiegendste dazu führen konnte, dass Datenbankbenutzer Dateien aus dem Dateisystem mit den Rechten des Datenbankservers lesen konnten. Weitere Informationen finden Sie auf der PostgreSQL-Website unter http://www.postgresql.org/docs/9.1/static/release-9-1-5.html.

    CVE-ID

    CVE-2012-3488

    CVE-2012-3489

  • Profil-Manager

    Verfügbar für: Mac OS X Lion Server 10.7 bis 10.7.5

    Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen

    Beschreibung: Bei der Verarbeitung der XML-Parameter in Ruby on Rails bestand ein Type-Casting-Problem. Dieses Problem wurde durch Deaktivieren der XML-Parameter in der vom Profil-Manager verwendeten Rails-Implementierung behoben.

    CVE-ID

    CVE-2013-0156

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2

    Auswirkung: Das Anzeigen einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von "rnet"-Boxen in MP4-Dateien konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2012-3756: Kevin Szkudlapski von QuarksLab

  • Ruby

    Verfügbar für: Mac OS X Server 10.6.8.

    Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen, wenn ein Rails-Programm ausgeführt wird

    Beschreibung: Bei der Verarbeitung der XML-Parameter in Ruby on Rails bestand ein Type-Casting-Problem. Dieses Problem wurde durch Deaktivieren von YAML und Symbolen in den XML-Parametern in Rails behoben.

    CVE-ID

    CVE-2013-0156

  • Sicherheit

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2

    Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann Berechtigungsnachweise eines Benutzers oder andere sensible Daten abfangen

    Beschreibung: TURKTRUST stellte versehentlich mehrere Zertifizierungsstellen-Zwischenzertifikate aus. Dadurch könnte ein Man-in-the-Middle-Angreifer in der Lage sein, Verbindungen umzuleiten und Berechtigungsnachweise eines Benutzers oder andere sensible Daten abzufangen. Dieses Problem wurde durch Abweisung falscher SSL-Zertifikate behoben.

  • Softwareaktualisierung

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5

    Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen

    Beschreibung: In der Softwareaktualisierung war es für einen Man-in-the-Middle-Angreifer möglich, Plug-In-Inhalte in den für Aktualisierungen angezeigten Marketing-Text einzufügen. Hierdurch können Plug-Ins mit Schwachstellen angegriffen oder "Social Engineering"-Angriffe in Zusammenhang mit Plug-Ins durchgeführt werden. Das Problem betrifft keine Systeme mit OS X Mountain Lion. Dieses Problem wurde behoben, indem verhindert wurde, dass im WebView für den Marketing-Text in der Softwareaktualisierung Plug-Ins geladen werden.

    CVE-ID

    CVE-2013-0973: Emilio Escobar

  • Wiki Server

    Verfügbar für: Mac OS X Lion Server 10.7 bis 10.7.5

    Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen

    Beschreibung: Bei der Verarbeitung der XML-Parameter in Ruby on Rails bestand ein Type-Casting-Problem. Dieses Problem wurde durch Deaktivieren der XML-Parameter in der vom Wiki-Server verwendeten Rails-Implementierung behoben.

    CVE-ID

    CVE-2013-0156

  • Wiki Server

    Verfügbar für: Mac OS X Lion Server 10.7 bis 10.7.5

    Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen

    Beschreibung: Bei der Verarbeitung der JSON-Daten in Ruby on Rails bestand ein Type-Casting-Problem. Dieses Problem wurde durch Wechseln zum JSONGem-Backend für die JSON-Analyse in der vom Wiki-Server verwendeten Rails-Implementierung behoben.

    CVE-ID

    CVE-2013-0333

  • Entfernen von Malware

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2

    Beschreibung: Dieses Update führt ein Tool zum Entfernen von Malware aus, durch das die gängigsten Malware-Varianten entfernt werden. Wenn Malware gefunden wird, wird dem Benutzer in einem Dialogfenster angezeigt, dass die Malware entfernt wurde. Wenn keine Malware gefunden wurde, wird keine Benachrichtigung angezeigt.

 

FaceTime ist nicht in allen Ländern und Regionen verfügbar.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: