Informationen zum Sicherheitsinhalt von OS X Mountain Lion 10.8.3 und dem Sicherheitsupdate 2013-001
Dieses Dokument beschreibt den Sicherheitsinhalt von OS X Mountain Lion 10.8.3 und dem Sicherheitsupdate 2013-001.
OS X Mountain Lion 10.8.3 und das Sicherheitsupdate 2013-001 können über die Softwareaktualisierung oder über die Apple Support-Downloads geladen und installiert werden.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
Hinweis: OS X Mountain Lion 10.8.3 enthält Safari 6.0.3. Weitere Details hierzu finden Sie unter Informationen zum Sicherheitsinhalt von Safari 6.0.3.
OS X Mountain Lion 10.8.3 und Sicherheitsupdate 2013-001
Apache
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2
Auswirkung: Ein Angreifer kann unter Umständen auf Verzeichnisse zugreifen, die mit HTTP-Authentifizierung geschützt sind, ohne die korrekten Zugangsdaten zu kennen
Beschreibung: Bei der Verarbeitung von URIs mit ignorierbaren Unicode-Zeichenfolgen bestand ein Problem mit der Umwandlung von URIs in kanonische Formate. Dieses Problem wurde durch Aktualisieren von mod_hfs_apple behoben, sodass der Zugriff auf URIs mit ignorierbaren Unicode-Zeichenfolgen unterbunden wird.
CVE-ID
CVE-2013-0966: Clint Ruoho von Laconic Security
CoreTypes
Verfügbar für: Mac OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2.
Auswirkung: Der Besuch einer in böser Absicht erstellten Website konnte dazu führen, dass ein Java Web Start-Programm automatisch gestartet wird, selbst wenn das Java-Plug-In deaktiviert ist.
Beschreibung: Java Web Start-Programme wurden ausgeführt, selbst wenn das Java-Plug-In deaktiviert war. Dieses Problem wurde durch Entfernen der JNLP-Dateien von der Liste der sicheren CoreTypes-Dateitypen behoben. Dadurch wird das Web Start-Programm erst ausgeführt, wenn der Benutzer es im Verzeichnis "Downloads" öffnet.
CVE-ID
CVE-2013-0967
Internationale Komponenten für Unicode
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen
Beschreibung: Es bestand ein Problem mit der Umwandlung der EUC-JP-Codierung in kanonische Formate, was zu einem Cross-Site-Scripting-Angriff auf EUC-JO-codierte Websites führen konnte. Dieses Problem wurde durch Aktualisierung der EUC-JP-Zuordnungstabelle behoben.
CVE-ID
CVE-2011-3058: Masato Kinugawa
Identitätsdienste
Verfügbar für: Mac OS X Lion 10.7 bis 10.7.5, OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2.
Auswirkung: Die Authentifizierung mittels zertifikatbasierter Apple-ID-Authentifizierung wird möglicherweise umgangen
Beschreibung: Es lag ein Fehlerbehandlungsproblem bei den Identitätsdiensten vor. Wenn das Apple-ID-Zertifikat des Benutzers nicht überprüft werden konnte, wurde die Apple-ID des Benutzers als leerer String angenommen. Tritt dies bei mehreren Systemen verschiedener Benutzer auf, sprechen Programme, die sich auf diese Identitätsbestimmung stützen, irrtümlich Vertrauen aus. Dieses Problem wurde behoben, indem sichergestellt wird, dass die Antwort "NULL" anstelle eines leeren Strings ausgegeben wird.
CVE-ID
CVE-2013-0963
ImageIO
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2
Auswirkung: Das Anzeigen einer in böser Absicht erstellten TIFF-Datei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Die Verarbeitung von TIFF-Bildern durch libtiff konnte zu einem Pufferüberlauf führen. Dieses Problem wurde durch eine zusätzliche Validierung von TIFF-Bildern behoben.
CVE-ID
CVE-2012-2088
IOAcceleratorFamily
Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.2
Auswirkung: Das Anzeigen eines in böser Absicht erstellten Bildes kann zu einem unerwarteten Systemabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Grafikdaten konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2013-0976: Ein anonymer Forscher
Kernel
Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.2
Auswirkung: In böser Absicht erstellte oder kompromittierte Programme sind unter Umständen in der Lage, Adressen im Kernel zu ermitteln
Beschreibung: Bei der Verarbeitung von APIs wurden in Bezug auf Kernel-Erweiterungen Informationen offengelegt. Antworten mit OSBundleMachOHeaders-Schlüssel enthielten möglicherweise Kernel-Adressen, die zur Umgehung der ASLR-Sicherheit (Address Space Layout Randomization) genutzt werden können. Dieses Problem wurde durch ein Unsliding der Adressen vor dem Zurücksenden behoben.
CVE-ID
CVE-2012-3749: Mark Dowd von Azimuth Security, Eric Monti von Square und weitere anonyme Wissenschaftler
Anmeldefenster
Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.2
Auswirkung: Ein Angreifer, der Zugriff auf die Tastatur hat, kann möglicherweise die Systemkonfiguration ändern
Beschreibung: Es bestand ein logischer Fehler in der VoiceOver-Verarbeitung des Anmeldefensters, wodurch ein Angreifer, der Zugriff auf die Tastatur hat, die Systemeinstellungen starten und die Systemkonfiguration ändern konnte. Dieses Problem wurde behoben, indem VoiceOver daran gehindert wurde, Programme im Anmeldefenster zu starten.
CVE-ID
CVE-2013-0969: Eric A. Schulman von Purpletree Labs
Nachrichten
Verfügbar für: OS X Mountain Lion 10.8 bis 10.8.2
Auswirkung: Durch Klicken auf einen Link in "Nachrichten" wird möglicherweise ohne Aufforderung ein FaceTime-Anruf gestartet.
Beschreibung: Durch Klicken auf eine speziell formatierte URL mit dem Format "FaceTime://" in "Nachrichten" kann unter Umständen die standardmäßige Bestätigungsaufforderung umgangen werden. Dieses Problem wurde durch eine zusätzliche Validierung von URLs mit dem Format "FaceTime://" behoben.
CVE-ID
CVE-2013-0970: Aaron Sigel von vtty.com
Nachrichten-Server
Verfügbar für: Mac OS X Server 10.6.8, Mac OS X Lion Server 10.7 bis 10.7.5
Auswirkung: Ein Remote-Angreifer könnte verbundene Jabber-Nachrichten umleiten
Beschreibung: Bei der Verarbeitung von Rückruf-Ergebnismeldungen durch den Jabber-Server bestand ein Problem. Ein Angreifer konnte den Jabber-Server dazu bringen, Informationen preiszugeben, die für Benutzer auf verbundenen Servern bestimmt waren. Das Problem wurde durch die verbesserte Verarbeitung der Rückruf-Ergebnismeldungen behoben.
CVE-ID
CVE-2012-3525
PDFKit
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2
Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Freihandanmerkungen in PDF-Dateien konnte ein Use-after-free-Problem auftreten. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2013-0971: Tobias Klein in Zusammenarbeit mit der Zero Day Initiative von HP TippingPoint
Podcast Producer Server
Verfügbar für: Mac OS X Server 10.6.8, Mac OS X Lion Server 10.7 bis 10.7.5
Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen
Beschreibung: Bei der Verarbeitung der XML-Parameter in Ruby on Rails bestand ein Type-Casting-Problem. Dieses Problem wurde durch Deaktivieren der XML-Parameter in der von Podcast Producer Server verwendeten Rails-Implementierung behoben.
CVE-ID
CVE-2013-0156
Podcast Producer Server
Verfügbar für: Mac OS X Lion Server 10.7 bis 10.7.5
Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen
Beschreibung: Bei der Verarbeitung der JSON-Daten in Ruby on Rails bestand ein Type-Casting-Problem. Dieses Problem wurde durch Wechseln zum JSONGem-Backend für die JSON-Analyse in der von Podcast Producer Server verwendeten Rails-Implementierung behoben.
CVE-ID
CVE-2013-0333
PostgreSQL
Verfügbar für: Mac OS X Server 10.6.8, Mac OS X Lion Server 10.7 bis 10.7.5
Auswirkung: Mehrere Schwachstellen in PostgreSQL
Beschreibung: PostgreSQL wurde auf Version 9.1.5 aktualisiert, um verschiedene Schwachstellen zu beheben, von denen die schwerwiegendste dazu führen konnte, dass Datenbankbenutzer Dateien aus dem Dateisystem mit den Rechten des Datenbankservers lesen konnten. Weitere Informationen finden Sie auf der PostgreSQL-Website unter http://www.postgresql.org/docs/9.1/static/release-9-1-5.html.
CVE-ID
CVE-2012-3488
CVE-2012-3489
Profil-Manager
Verfügbar für: Mac OS X Lion Server 10.7 bis 10.7.5
Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen
Beschreibung: Bei der Verarbeitung der XML-Parameter in Ruby on Rails bestand ein Type-Casting-Problem. Dieses Problem wurde durch Deaktivieren der XML-Parameter in der vom Profil-Manager verwendeten Rails-Implementierung behoben.
CVE-ID
CVE-2013-0156
QuickTime
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2
Auswirkung: Das Anzeigen einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von "rnet"-Boxen in MP4-Dateien konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2012-3756: Kevin Szkudlapski von QuarksLab
Ruby
Verfügbar für: Mac OS X Server 10.6.8.
Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen, wenn ein Rails-Programm ausgeführt wird
Beschreibung: Bei der Verarbeitung der XML-Parameter in Ruby on Rails bestand ein Type-Casting-Problem. Dieses Problem wurde durch Deaktivieren von YAML und Symbolen in den XML-Parametern in Rails behoben.
CVE-ID
CVE-2013-0156
Sicherheit
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2
Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann Berechtigungsnachweise eines Benutzers oder andere sensible Daten abfangen
Beschreibung: TURKTRUST stellte versehentlich mehrere Zertifizierungsstellen-Zwischenzertifikate aus. Dadurch könnte ein Man-in-the-Middle-Angreifer in der Lage sein, Verbindungen umzuleiten und Berechtigungsnachweise eines Benutzers oder andere sensible Daten abzufangen. Dieses Problem wurde durch Abweisung falscher SSL-Zertifikate behoben.
Softwareaktualisierung
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5
Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen
Beschreibung: In der Softwareaktualisierung war es für einen Man-in-the-Middle-Angreifer möglich, Plug-In-Inhalte in den für Aktualisierungen angezeigten Marketing-Text einzufügen. Hierdurch können Plug-Ins mit Schwachstellen angegriffen oder "Social Engineering"-Angriffe in Zusammenhang mit Plug-Ins durchgeführt werden. Das Problem betrifft keine Systeme mit OS X Mountain Lion. Dieses Problem wurde behoben, indem verhindert wurde, dass im WebView für den Marketing-Text in der Softwareaktualisierung Plug-Ins geladen werden.
CVE-ID
CVE-2013-0973: Emilio Escobar
Wiki Server
Verfügbar für: Mac OS X Lion Server 10.7 bis 10.7.5
Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen
Beschreibung: Bei der Verarbeitung der XML-Parameter in Ruby on Rails bestand ein Type-Casting-Problem. Dieses Problem wurde durch Deaktivieren der XML-Parameter in der vom Wiki-Server verwendeten Rails-Implementierung behoben.
CVE-ID
CVE-2013-0156
Wiki Server
Verfügbar für: Mac OS X Lion Server 10.7 bis 10.7.5
Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen
Beschreibung: Bei der Verarbeitung der JSON-Daten in Ruby on Rails bestand ein Type-Casting-Problem. Dieses Problem wurde durch Wechseln zum JSONGem-Backend für die JSON-Analyse in der vom Wiki-Server verwendeten Rails-Implementierung behoben.
CVE-ID
CVE-2013-0333
Entfernen von Malware
Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, Mac OS X Lion 10.7 bis 10.7.5, Mac OS X Lion Server 10.7 bis 10.7.5, OS X Mountain Lion 10.8 bis 10.8.2
Beschreibung: Dieses Update führt ein Tool zum Entfernen von Malware aus, durch das die gängigsten Malware-Varianten entfernt werden. Wenn Malware gefunden wird, wird dem Benutzer in einem Dialogfenster angezeigt, dass die Malware entfernt wurde. Wenn keine Malware gefunden wurde, wird keine Benachrichtigung angezeigt.
FaceTime ist nicht in allen Ländern und Regionen verfügbar.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.