Informationen zum Sicherheitsinhalt von OS X Mavericks 10.9.2 und dem Sicherheitsupdate 2014-001

Dieses Dokument beschreibt den Sicherheitsinhalt von OS X Mavericks 10.9.2 und dem Sicherheitsupdate 2014-001.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates".

Diese Aktualisierung kann über die Option "Softwareaktualisierung" oder von der Apple-Supportwebsite geladen und installiert werden.

OS X Mavericks 10.9.2 und Sicherheitsupdate 2014-001

  • Apache

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Mehrere Schwachstellen in Apache

    Beschreibung: In Apache existierten mehrere Schwachstellen, die im schlimmsten Fall zu Cross-Site-Scripting führen können. Diese Probleme wurden durch die Aktualisierung auf Version 2.2.26 behoben.

    CVE-ID

    CVE-2013-1862

    CVE-2013-1896

  • Sandbox-App

    Verfügbar für: OS X Mountain Lion 10.8.5

    Auswirkung: Die Sandbox-App wird womöglich umgangen

    Beschreibung: Die Schnittstelle "LaunchServices" zum Starten eines Programms ermöglichte in der Sandbox ausgeführten Apps, die Liste mit Argumenten zu bestimmen, die an den neuen Prozess weitergegeben werden. Ein kompromittiertes in der Sandbox ausgeführtes Programm konnte dies missbrauchen, um die Sandbox zu umgehen. Dieses Problem wurde dadurch behoben, dass in der Sandbox ausgeführte Programme keine Argumente mehr angeben können. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.

    CVE-ID

    CVE-2013-5179: Friedrich Graeter von The Soulmen GbR

  • ATS

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Das Anzeigen oder Laden eines Dokuments, das in böser Absicht erstellte eingebettete Schriften enthält, kann zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Type 1-Schriften kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1254: Felix Groebert vom Google-Sicherheitsteam

  • ATS

    Verfügbar für: OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Die Sandbox-App wird womöglich umgangen

    Beschreibung: Bei der Verarbeitung von Mach-Nachrichten an ATS existierte ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1262: Meder Kydyraliev vom Google-Sicherheitsteam

  • ATS

    Verfügbar für: OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Die Sandbox-App wird womöglich umgangen

    Beschreibung: Bei der Verarbeitung von Mach-Nachrichten an ATS existierte ein willkürliches Free-Problem. Dieses Problem wurde durch eine zusätzliche Validierung von Mach-Nachrichten behoben.

    CVE-ID

    CVE-2014-1255: Meder Kydyraliev vom Google-Sicherheitsteam

  • ATS

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Die Sandbox-App wird womöglich umgangen

    Beschreibung: Bei der Verarbeitung von Mach-Nachrichten an ATS existierte ein Pufferüberlauf. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1256: Meder Kydyraliev vom Google-Sicherheitsteam

  • Richtlinie für vertrauenswürdige Zertifikate

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Root-Zertifikate wurden aktualisiert

    Beschreibung: Der Satz System-Root-Zertifikate wurde aktualisiert. Die vollständige Liste der erkannten System-Roots kann über das Programm "Schlüsselbundverwaltung" angezeigt werden.

  • CFNetwork-Cookies

    Verfügbar für: OS X Mountain Lion 10.8.5

    Auswirkung: Cookies aus Sitzungen werden auch nach dem Zurücksetzen von Safari beibehalten

    Beschreibung: Durch Zurücksetzen von Safari wurden die Sitzungs-Cookies nicht immer gelöscht, bis Safari geschlossen wurde. Dieses Problem wurde durch eine verbesserte Verarbeitung der Sitzungs-Cookies behoben. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.

    CVE-ID

    CVE-2014-1257: Rob Ansaldo vom Amherst College, Graham Bennett

  • CoreAnimation

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Bildern in CoreAnimation existierte ein Stapelpufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1258: Karl Smith von der NCC Group

  • CoreText

    Verfügbar für: OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Programme, die CoreText verwenden, können anfällig für die Ausführung willkürlichen Codes oder einen unerwarteten Programmabbruch sein

    Beschreibung: Bei der Verarbeitung von Unicode-Schriftarten trat in CoreText ein Problem mit der Vorzeichenbehaftung auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1261: Lucas Apa und Carlos Mario Penagos von IOActive Labs

  • curl

    Verfügbar für: OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann Berechtigungsnachweise eines Benutzers oder andere vertrauliche Daten abfangen

    Beschreibung: Bei Verwendung von curl für eine Verbindung mit einer HTTPS-URL, die eine IP-Adresse enthält, wurde die IP-Adresse nicht anhand des Zertifikats geprüft. Dieses Problem wirkt sich nicht auf Systeme vor OS X Mavericks 10.9 aus.

    CVE-ID

    CVE-2014-1263: Roland Moriz von der Moriz GmbH

  • Datensicherheit

    Verfügbar für: OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann in durch SSL/TLS geschützten Sitzungen Daten stehlen oder ändern

    Beschreibung: Secure Transport konnte die Authentizität der Verbindung nicht prüfen. Dieses Problem wurde durch die Wiederherstellung fehlender Validierungsschritte behoben.

    CVE-ID

    CVE-2014-1266

  • Datum und Uhrzeit

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Ein unberechtigter Benutzer kann die Systemuhr ändern

    Beschreibung: Diese Aktualisierung ändert das Verhalten des folgenden Befehls:

    systemsetup
    Für das Ändern der Systemuhr sind nun Administratorrechte erforderlich.

    CVE-ID

    CVE-2014-1265

  • Dateilesezeichen

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Das Öffnen einer Datei mit einem in böser Absicht erstellten Namen kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Dateinamen kam es zu einem Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1259

  • Finder

    Verfügbar für: OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Das Aufrufen der Zugriffssteuerungsliste einer Datei über den Finder kann dazu führen, dass andere Benutzer unerlaubten Zugang zu Dateien erhalten

    Beschreibung: Das Aufrufen der Zugriffssteuerungsliste einer Datei über den Finder kann die Zugriffssteuerungslisten der Datei beschädigen. Dieses Problem wurde durch eine verbesserte Verarbeitung der Zugriffssteuerungslisten behoben.

    CVE-ID

    CVE-2014-1264

  • ImageIO

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Die Anzeige einer in böser Absicht erstellten JPEG-Datei kann zur Offenlegung von Speicherinhalten führen

    Beschreibung: Bei der Verarbeitung von JPEG-Markern in libjpeg gab es ein Problem mit einem nicht initialisierten Speicherzugriff, das zur Offenlegung von Speicherinhalten führte. Dieses Problem wurde durch eine bessere JPEG-Verarbeitung behoben.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • IOSerialFamily

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

    Auswirkung: Das Ausführen eines schadhaften Programms kann im Kernel zur Ausführung willkürlichen Codes führen

    Beschreibung: Im IOSSerialFamily-Treiber gab es einen grenzüberschreitenden Array-Zugriff. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • LaunchServices

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

    Auswirkung: Bei einer Datei konnte die falsche Endung angezeigt werden

    Beschreibung: Bei der Verarbeitung bestimmter Unicode-Zeichen, durch die Dateinamen falsche Endungen haben konnten, gab es ein Problem. Das Problem wurde durch das Herausfiltern unsicherer Unicode-Zeichen aus der Anzeige in Dateinamen behoben. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.

    CVE-ID

    CVE-2013-5178: Jesse Ruderman von der Mozilla Corporation, Stephane Sudre von Intego

  • NVIDIA-Treiber

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Das Ausführen eines schadhaften Programms konnte in der Grafikkarte zur Ausführung willkürlichen Codes führen

    Beschreibung: Es gab ein Problem, das Schreibvorgänge in vertrauenswürdigem Speicher auf der Grafikkarte zuließ. Das Problem wurde gelöst, indem der Host daran gehindert wird, in diesen Speicher zu schreiben.

    CVE-ID

    CVE-2013-5986: Marcin Kościelnicki vom Projekt X.Org Foundation Nouveau

    CVE-2013-5987: Marcin Kościelnicki vom Projekt X.Org Foundation Nouveau

  • PHP

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Mehrere Schwachstellen in PHP

    Beschreibung: In PHP existierten mehrere Schwachstellen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen konnten. Diese Probleme wurden durch eine Aktualisierung von PHP auf Version 5.4.24 unter OS X Mavericks 10.9 und Version 5.3.28 unter Mac OS X Lion und OS X Mountain Lion behoben.

    CVE-ID

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • Übersicht

    Verfügbar für: OS X Mountain Lion 10.8.5

    Auswirkung: Das Laden einer in böser Absicht erstellten Microsoft Office-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Microsoft Office-Dateien in Übersicht kann es zu einem Speicherfehler kommen. Das Laden einer in böser Absicht erstellten Microsoft Office-Datei konnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Systeme, auf denen OS X Mavericks 10.9 oder neuer ausgeführt wird, sind von diesem Problem nicht betroffen.

    CVE-ID

    CVE-2014-1260: Felix Groebert vom Google-Sicherheitsteam

  • Übersicht

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Das Laden eines in böser Absicht erstellten Microsoft Word-Dokuments kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Microsoft Word-Dokumenten in Übersicht kam es zu einem Double-Free-Problem. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2014-1252: Felix Groebert vom Google-Sicherheitsteam

  • QuickTime

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von "ftab"-Atomen existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1246: Anonymer Mitarbeiter der Zero Day Initiative von HP

  • QuickTime

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von "dref"-Atomen existierte ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1247: Tom Gallagher und Paul Bates in Zusammenarbeit mit der Zero Day Initiative von HP

  • QuickTime

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von "ldat"-Atomen existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1248: Jason Kratzer in Zusammenarbeit mit iDefense VCP

  • QuickTime

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Das Anzeigen eines in böser Absicht erstellten PSD-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von PSD-Bildern existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1249: dragonltx vom Tencent-Sicherheitsteam

  • QuickTime

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von "ttfo"-Elementen gab es ein grenzüberschreitendes Byte-Austauschproblem. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1250: Jason Kratzer in Zusammenarbeit mit iDefense VCP

  • QuickTime

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 und 10.9.1

    Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von "stsz"-Atomen trat ein Problem mit der Vorzeichenbehaftung auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1245: Tom Gallagher und Paul Bates in Zusammenarbeit mit der Zero Day Initiative von HP

  • Secure Transport

    Verfügbar für: OS X Mountain Lion 10.8.5

    Auswirkung: Ein Angreifer kann möglicherweise durch SSL geschützte Daten entschlüsseln

    Beschreibung: Es gab bekannte Angriffe auf die Vertraulichkeit von SSL 3.0 und TLS 1.0, wenn eine Cipher Suite einen Block-Cipher im CBC-Modus verwendete. Um diese Probleme für Anwendungen zu beheben, die Secure Transport verwenden, wurde die 1-Byte-Fragmentbegrenzung für diese Konfiguration standardmäßig aktiviert.

    CVE-ID

    CVE-2011-3389: Juliano Rizzo und Thai Duong

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum:Thu Mar 26 04:58:58 GMT 2015