Informationen zum Sicherheitsinhalt von OS X Mountain Lion 10.8.4 und Sicherheitsupdate 2013-002

In diesem Dokument werden der Sicherheitsinhalt von OS X Mountain Lion 10.8.4 und das Sicherheitsupdate 2013-002 beschrieben, die über die Option Softwareaktualisierung in den Systemeinstellungen oder unter Apple-Downloads geladen und installiert werden können.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
 

OS X Mountain Lion 10.8.4 und Sicherheitsupdate 2013-002

Hinweis: OS X Mountain Lion 10.8.4 enthält Safari 6.0.5. Weitere Details hierzu finden Sie unter Informationen zum Sicherheitsinhalt von Safari 6.0.5.

  • CFNetwork

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.3

    Auswirkung: Ein Angreifer mit Zugriff auf eine Benutzersitzung konnte sich unter Umständen bei zuvor aufgerufenen Seiten anmelden, auch wenn "Privates Surfen" aktiviert war.

    Beschreibung: Dauerhafte Cookies wurden nach Beendigung von Safari gesichert, auch wenn "Privates Surfen" aktiviert war. Dieses Problem wurde durch eine verbesserte Verarbeitung der Cookies behoben.

    CVE-ID

    CVE-2013-0982: Alexander Traud von www.traud.de

  • CoreAnimation

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.3

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

    Beschreibung: Die Verarbeitung von Textglyphen führte zu einer unbegrenzten Stapel-Bereitstellung. Dies konnte durch in böswilliger Absicht erstellte URLs in Safari ausgelöst werden. Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-0983: David Fifield von der Stanford University, Ben Syverson

  • CoreMedia Playback

    Verfügbar für: Mac OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.3

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

    Beschreibung: Bei der Verarbeitung von Textspuren existierte ein Problem mit Zugriff auf nicht initialisierten Speicher. Dieses Problem wurde durch eine zusätzliche Validierung von Textspuren behoben.

    CVE-ID

    CVE-2013-1024: Richard Kuo und Billy Suguitan von der Triemt Corporation

  • CUPS

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.3

    Auswirkung: Ein lokaler Nutzer in der lpadmin-Gruppe konnte beliebige Dateien mit Systemrechten lesen und bearbeiten.

    Beschreibung: Bei der Verarbeitung der CUPS-Konfiguration über die CUPS-Weboberfläche existierte ein Problem mit der Eskalation von Zugriffsrechten. Ein lokaler Nutzer in der lpadmin-Gruppe konnte beliebige Dateien mit Systemrechten lesen und bearbeiten. Dieses Problem wurde durch die Verlagerung einiger Konfigurationsanweisungen nach cups-files.conf behoben, die von der CUPS-Weboberfläche nicht geändert werden kann.

    CVE-ID

    CVE-2012-5519

  • Verzeichnisdienst

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Ein entfernter Angreifer konnte willkürlichen Code mit Systemrechten auf Systemen mit aktiviertem Verzeichnisdienst ausführen.

    Beschreibung: Bei der Verarbeitung von Nachrichten aus dem Netzwerk durch den Verzeichnisserver lag ein Problem vor. Über Versand einer in böser Absicht erstellten Nachricht, konnte ein entfernter Angreifer den Verzeichnisdienst beenden oder willkürlichen Code mit Systemrechten ausführen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Mac OS X Lion- oder OS X Mountain Lion-Systeme sind von diesem Problem nicht betroffen.

    CVE-ID

    CVE-2013-0984: Nicolas Economou von Core Security

  • Laufwerkverwaltung

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.3

    Auswirkung: Ein lokaler Nutzer konnte FileVault deaktivieren.

    Beschreibung: Ein lokaler Nutzer ohne Administratorrechte konnte FileVault über die Befehlszeile deaktivieren. Dieses Problem wurde durch zusätzliche Authentifizierung behoben.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.3

    Auswirkung: Ein Angreifer kann möglicherweise durch SSL geschützte Daten entschlüsseln.

    Beschreibung: Es waren Angriffe auf die Vertraulichkeit von TLS 1.0 bei aktivierter Kompression bekannt. Dieses Problem wurde durch die Deaktivierung der Kompression in OpenSSL behoben.

    CVE-ID

    CVE-2012-4929: Juliano Rizzo und Thai Duong

  • OpenSSL

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.3

    Auswirkung: Mehrere Schwachstellen in OpenSSL

    Beschreibung: OpenSSL wurde auf die Version 0.9.8x aktualisiert, um mehrere Schwachstellen zu beheben, die zu einem Denial-of-Service oder zur Offenlegung eines privaten Schlüssels führen konnten. Weitere Informationen erhalten Sie auf der OpenSSL-Website unter http://www.openssl.org/news/.

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Verfügbar für: Mac OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2

    Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten PICT-Bildes kann zu einem unerwarteten Programmabbruch oder der Ausführung beliebigen Codes führen.

    Beschreibung: Bei der Verarbeitung von PICT-Bildern existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-0975: Tobias Klein in Zusammenarbeit mit der HP Zero Day Initiative

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.3

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

    Beschreibung: Bei der Verarbeitung von "enof"-Atomen existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-0986: Tom Gallagher (Microsoft) und Paul Bates (Microsoft) in Zusammenarbeit mit der Zero Day Initiative von HP

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.3

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten QTIF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

    Beschreibung: Bei der Verarbeitung von QTIF-Dateien existierte ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-0987: roob in Zusammenarbeit mit iDefense VCP

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.3

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten FPX-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

    Beschreibung: Bei der Verarbeitung von FPX-Dateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-0988: G. Geshev in Zusammenarbeit mit der Zero Day Initiative von HP

  • QuickTime

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.3

    Auswirkung: Die Wiedergabe einer in böswilliger Absicht erstellten MP3-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

    Beschreibung: Bei der Verarbeitung von MP3-Dateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-0989: G. Geshev in Zusammenarbeit mit der Zero Day Initiative von HP

  • Ruby

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Auswirkung: Mehrere Schwachstellen in Ruby on Rails

    Beschreibung: In Ruby on Rails lagen mehrere Schwachstellen vor, von welchen die schwerwiegendste zur Ausführung von willkürlichem Code auf Systemen führen konnte, auf denen Ruby on Rails-Programme ausgeführt werden. Diese Probleme wurden durch eine Aktualisierung von Ruby on Rails auf Version 2.3.18 behoben. Mac OS X Lion- oder OS X Mountain Lion-Systeme, die aus Mac OS X 10.6.8 oder älter aktualisiert wurden, sind von diesem Problem betroffen. Nutzer können betroffene Gems auf solchen Systemen mit dem Dienstprogramm /usr/bin/gem aktualisieren.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Verfügbar für: Mac OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.3

    Auswirkung: Ein authentifizierter Nutzer konnte Dateien außerhalb des freigegebenen Ordners bearbeiten.

    Beschreibung: Wenn die SMB-Dateifreigabe aktiviert ist, kann ein authentifizierter Nutzer Dateien außerhalb des freigegebenen Ordners bearbeiten. Dieses Problem wurde durch eine verbesserte Zugangskontrolle behoben.

    CVE-ID

    CVE-2013-0990: Ward van Wanrooij

  • Hinweis: Ab OS X 10.8.4 müssen Java Web Start-Programme (d. h. JNLP), die aus dem Internet geladen wurden, mit einem Entwickler-ID-Zertifikat signiert sein. Gatekeeper wird geladene Java Web Start-Programme auf eine Signatur überprüfen und den Start der Programme blockieren, wenn sie nicht ordnungsgemäß signiert sind.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum:Sat May 23 06:30:38 GMT 2015