Informationen zum Sicherheitsinhalt von OS X Mountain Lion 10.8.5 und dem Sicherheitsupdate 2013-004

Dieses Dokument beschreibt den Sicherheitsinhalt von OS X Mountain Lion 10.8.5 und dem Sicherheitsupdate 2013-004.

Diese können über die "Softwareaktualisierung" in den Systemeinstellungen oder unter Apple-Downloads geladen und installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates"

OS X Mountain Lion 10.8.5 und Sicherheitsupdate 2013-004

  • Apache

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Mehrere Schwachstellen in Apache

    Beschreibung: In Apache existierten mehrere Schwachstellen, die im schlimmsten Fall zu Cross-Site-Scripting führen können. Diese Probleme wurden durch die Aktualisierung auf Version 2.2.24 behoben.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Verfügbar für: Mac OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Mehrere Schwachstellen in BIND

    Beschreibung: In BIND waren mehrere Schwachstellen vorhanden, die im schlimmsten Fall zu einem Denial-of-Service führen können. Diese Probleme wurden durch Aktualisieren von BIND auf Version 9.8.5-P1 behoben. CVE-2012-5688 betraf Mac OS X 10.7-Systeme nicht.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Richtlinie für vertrauenswürdige Zertifikate

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Root-Zertifikate wurden aktualisiert.

    Beschreibung: Bestimmte Zertifikate wurden zur Liste der System-Roots hinzugefügt oder daraus entfernt. Die vollständige Liste der erkannten System-Roots kann über das Programm "Schlüsselbundverwaltung" angezeigt werden.

  • ClamAV

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5, OS X Lion Server 10.7.5

    Auswirkung: Mehrere Schwachstellen in ClamAV

    Beschreibung: ClamAV hat mehrere Schwachstellen, von denen die schwerwiegendste zur Ausführung willkürlichen Codes führen kann. Mit diesem Update werden die Probleme durch Aktualisierung von ClamAV auf Version 0.97.8 behoben.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von JBIG2-codierten Daten in PDF-Dateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1025: Felix Groebert vom Google-Sicherheitsteam

  • ImageIO

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von JPEG2000-codierten Daten in PDF-Dateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1026: Felix Groebert vom Google-Sicherheitsteam

  • Installationsprogramm

    Verfügbar für: Mac OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Pakete konnten nach dem Sperren von Zertifikaten geöffnet werden.

    Beschreibung: Wenn das Installationsprogramm ein gesperrtes Zertifikat antraf, zeigte es einen Dialog mit der Möglichkeit zum Fortfahren an. Dieses Problem wurde durch das Entfernen des Dialogs und die Ablehnung aller gesperrten Pakete behoben.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Ein Angreifer ist möglicherweise in der Lage, durch IPSec Hybrid Auth geschützte Daten abzufangen.

    Beschreibung: Der DNS-Name eines IPSec Hybrid Auth-Server wurde nicht auf das Zertifikat abgestimmt, sodass ein Angreifer mit einem Zertifikat für einen Server die Identität eines anderen vortäuschen konnte. Das Problem wurde durch das sorgfältige Überprüfen des Zertifikats behoben.

    CVE-ID

    CVE-2013-1028: Alexander Traud von www.traud.de

  • Kernel

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Ein lokaler Netzwerkbenutzer kann einen Denial-of-Service auslösen.

    Beschreibung: Eine inkorrekte Überprüfung im Parsing Code des IGMP-Pakets im Kernel erlaubte es einem Benutzer, der IGMP-Pakete an das System senden konnte, eine Kernel Panic zu verursachen. Das Problem wurde durch Entfernen der Überprüfung behoben.

    CVE-ID

    CVE-2013-1029: Christopher Bohn von PROTECTSTAR INC.

  • Mobile Device Management

    Verfügbar für: Mac OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Passwörter werden womöglich anderen lokalen Benutzern offengelegt.

    Beschreibung: Ein Passwort wurde über die Befehlszeile an mdmclient übertragen, wodurch dieses für anderen Benutzer im selben System sichtbar wurde. Das Problem wurde durch die Übermittlung des Passworts über eine Pipe behoben.

    CVE-ID

    CVE-2013-1030: Per Olofsson von der Universität Göteborg

  • OpenSSL

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Mehrere Schwachstellen in OpenSSL

    Beschreibung: In OpenSSL sind mehrere Schwachstellen vorhanden, die im schlimmsten Fall zur Offenlegung von Benutzerdaten führen können. Diese Probleme wurden durch Aktualisierung von OpenSSL auf Version 0.9.8y behoben.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Mehrere Schwachstellen in PHP

    Beschreibung: In PHP existierten mehrere Schwachstellen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen können. Diese Probleme wurden durch die Aktualisierung von PHP auf Version 5.3.26 behoben.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Verfügbar für: Mac OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Mehrere Schwachstellen in PostgreSQL

    Beschreibung: In PostgreSQL sind mehrere Schwachstellen vorhanden, die im schlimmsten Fall zu Datenkorruption oder Eskalation von Zugriffsrechten führen können. CVE-2013-1901 betrifft keine Mac OS X Lion-Systeme. Dieses Update behebt diese Probleme durch eine Aktualisierung von PostgreSQL auf Version 9.1.9 auf OS X Mountain Lion-Systemen und Version 9.0.4 auf Mac OS X Lion-Systemen.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Energieverwaltung

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Der Bildschirmschoner startet nach der festgelegten Zeit womöglich nicht.

    Beschreibung: Es bestand ein Problem mit einer Stromzusicherungssperre. Dieses Problem wurde durch eine verbesserte Verarbeitung der Sperre behoben.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Das Anzeigen einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von QuickTime-Filmdateien gab es einen Speicherfehler bei der Verarbeitung von 'idsc'-Atomen. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1032: Jason Kratzer in Zusammenarbeit mit iDefense VCP

  • Bildschirmsperre

    Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Ein Benutzer mit Bildschirmfreigabe kann die Bildschirmsperre umgehen, wenn ein anderer Benutzer angemeldet ist.

    Beschreibung: Es existierte ein Sitzungsverwaltungsproblem beim Umgang der Bildschirmsperre mit Bildschirmfreigabe-Sitzungen. Das Problem wurde durch ein verbessertes Sitzungs-Tracking behoben.

    CVE-ID

    CVE-2013-1033: Jeff Grisso von Atos IT Solutions, Sébastien Stormacq

  • sudo

    Verfügbar für: Mac OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 bis 10.8.4

    Auswirkung: Ein Angreifer mit Kontrolle über den Account eines Administratorbenutzers kann Root-Privilegien erlangen, ohne das Passwort des Benutzers zu kennen.

    Beschreibung: Durch Einstellen der Systemuhr kann ein Angreifer sudo verwenden, um Root-Privilegien auf Systemen zu erlangen, auf denen sudo zuvor genutzt wurde. Auf OS X können nur Administratorbenutzer die Systemuhr ändern. Dieses Problem wurde durch die Überprüfung auf einen ungültigen Zeitstempel behoben.

    CVE-ID

    CVE-2013-1775

 

  • Hinweis: OS X Mountain Lion 10.8.5 behebt zudem ein Problem, bei dem bestimmte Unicode-Strings zum unerwarteten Programmabbruch führen.

 

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Zuletzt geändert:
Hilfreich?
52% der Personen fanden dies hilfreich.

Zusätzliche Supportinformationen zum Produkt

Deutschland (Deutsch)