Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Informationen zum Sicherheitsinhalt des Sicherheitsupdates 2008-008/Mac OS X 10.5.6

In diesem Dokument wird der Sicherheitsinhalt des Sicherheitsupdates 2008-008/Mac OS X 10.5.6 beschrieben, das über die Softwareupdate-Einstellungen oder über Apple Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter “Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.“

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates.“

Sicherheitsupdate 2008-008 / Mac OS X 10.5.6

  • ATS

    CVE-ID: CVE-2008-4236

    Verfügbar für: Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Das Anzeigen oder Laden einer PDF-Datei, die eine in böser Absicht erstellte eingebettete Schriftart enthält, kann zu einem Denial-of-Service führen

    Beschreibung: Bei der Verarbeitung eingebetteter Schriftarten in PDF-Dateien durch den Apple Type Services-Server kann eine Endlosschleife auftreten. Das Anzeigen oder Laden einer PDF-Datei, die eine in böser Absicht erstellte eingebettete Schriftart enthält, kann zu einem Denial-of-Service führen. Dieses Update behebt das Problem durch eine zusätzliche Überprüfung eingebetteter Schriftarten. Dieses Problem betrifft keine Systeme vor Mac OS X 10.5. Wir danken Michael Samarin und Mikko Vihonen von Futurice Ltd., dass sie uns auf dieses Problem hingewiesen haben.

  • BOM

    CVE-ID: CVE-2008-4217

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Das Laden oder Anzeigen eines in böser Absicht erstellten CPIO-Archivs kann dazu führen, dass willkürlicher Codes ausgeführt oder die Anwendung unerwartet beendet wird

    Beschreibung: Bei der Verarbeitung von CPIO-Kopfzeilen durch BOM liegt ein Vorzeichenproblem vor, das zu einem Stapel-Pufferüberlauf führen kann. Das Laden oder Anzeigen eines in böser Absicht erstellten CPIO-Archivs kann dazu führen, dass willkürlicher Codes ausgeführt oder die Anwendung unerwartet beendet wird. Dieses Update behebt die Probleme durch die zusätzliche Validierung von CPIO-Kopfzeilen. Quelle: Apple.

  • CoreGraphics

    CVE-ID: CVE-2008-3623

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Das Anzeigen einer in böser Absicht erstellten Bilddatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung von Farbräumen innerhalb von CoreGraphics kommt es zu einem Heap-Pufferüberlauf. Das Anzeigen einer in böser Absicht erstellten Bilddatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Quelle: Apple.

  • CoreServices

    CVE-ID: CVE-2008-3170

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zur Preisgabe von Benutzeranmeldeinformationen führen

    Beschreibung: Safari ermöglicht es Websites, Cookies für länderspezifische Top-Level-Domains zu setzen. Dies kann es einem entfernten Angreifer ermöglichen, einen Session-Fixation-Angriff durchzuführen und die Anmeldeinformationen eines Benutzers an sich zu reißen. Durch dieses Update wird das Problem behoben, indem eine zusätzliche Validierung von Domain-Namen erfolgt. Wir danken Alexander Clauss von iCab.de, dass er uns auf dieses Problem hingewiesen hat.

  • CoreTypes

    CVE-ID: CVE-2008-4234

    Verfügbar für: Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Beim Versuch, unsichere geladene Inhalte zu starten, wird möglicherweise keine Warnung angezeigt

    Beschreibung: Mac OS X bietet die Download-Validierung, mit der auf potenziell unsichere Dateien hingewiesen wird. Safari und andere Anwendungen nutzen die Download-Validierung, um Benutzer:innen zu warnen, bevor diese Dateien starten, die als potenziell unsicher markiert sind. Dieses Update erweitert die Liste potenziell unsicherer Typen. Es fügt den Inhaltstyp für Dateien hinzu, die über ausführbare Berechtigungen und keine spezifische Anwendungszuordnung verfügen. Diese Dateien sind potenziell unsicher, da sie im Terminal gestartet werden und ihre Inhalte als Befehle ausgeführt werden. Obwohl diese Dateien nicht automatisch gestartet werden, können sie beim manuellen Öffnen zur Ausführung von willkürlichem Code führen. Dieses Problem betrifft keine Systeme vor Mac OS X v10.5.

  • Flash Player Plug-in

    CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Mehrere Schwachstellen im Plug-In für Adobe Flash Player

    Beschreibung: Im Plug-In für Adobe Flash Player gibt es mehrere Probleme, von denen das schwerwiegendste zur Ausführung willkürlichen Codes beim Anzeigen einer in böser Absicht erstellten Website führen kann. Die Probleme werden durch das Aktualisieren des Flash Player Plug-Ins auf Version 9.0.151.0 behoben. Weitere Informationen findest du auf der Adobe-Website unter https://helpx.adobe.com/de/security/security-bulletin.html

  • Kernel

    CVE-ID: CVE-2008-4218

    Verfügbar für: Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Ein lokaler Benutzer kann Systemrechte erhalten

    Beschreibung: Innerhalb der Systemaufrufe i386_set_ldt und i386_get_ldt treten Probleme mit einem Ganzzahlüberlauf auf, die es lokalen Benutzer:innen ermöglichen können, willkürlichen Code mit Systemrechten auszuführen. Dieses Update behebt die Probleme durch eine verbesserte Abgrenzungsprüfung. Diese Probleme betreffen PowerPC-Systeme nicht. Wir danken Richard van Eeden von IOActive, Inc., dass er uns auf dieses Problem hingewiesen hat.

  • Kernel

    CVE-ID: CVE-2008-4219

    Verfügbar für: Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Das Ausführen einer ausführbaren Datei, die dynamische Bibliotheken auf einer NFS-Freigabe verknüpft, kann zu einem unerwarteten Herunterfahren des Systems führen

    Beschreibung: Wenn ein Programm auf einer NFS-Freigabe eine Ausnahme empfängt, kann eine Endlosschleife auftreten. Dies kann zu einem unerwarteten Herunterfahren des Systems führen. Dieses Update behebt das Problem durch eine verbesserte Handhabung von Ausnahmen. Wir danken Ben Loer von der Princeton University, dass er uns auf dieses Problem hingewiesen hat.

  • Libsystem

    CVE-ID: CVE-2008-4220

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Anwendungen, die die inet_net_pton-API verwenden, können anfällig für die Ausführung willkürlichen Codes oder einen unerwarteten Programmabbruch sein

    Beschreibung: In der inet_net_pton-API von Libsystem liegt ein Ganzzahlüberlauf vor, der zur Ausführung willkürlichen Codes oder zur unerwarteten Beendigung der Anwendung, die die API verwendet, führen kann. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Diese API wird normalerweise nicht mit nicht vertrauenswürdigen Daten aufgerufen, und es sind keine ausnutzbaren Fälle dieses Problems bekannt. Dieses Update soll dazu beitragen, potenzielle Angriffe auf Anwendungen, die diese API verwenden, abzuschwächen.

  • Libsystem

    CVE-ID: CVE-2008-4221

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Anwendungen, die die strptime-API verwenden, können anfällig für die Ausführung willkürlichen Codes oder eine unerwartete Beendigung der Anwendung sein

    Beschreibung: In der strptime-API von Libsystem liegt ein Speicherfehler vor. Das Analysieren einer in böser Absicht erstellten Datumszeichenfolge kann zur Ausführung willkürlichen Codes oder zur unerwarteten Beendigung der Anwendung führen. Dieses Update behebt das Problem durch eine verbesserte Speicherzuteilung. Quelle: Apple.

  • Libsystem

    CVE-ID: CVE-2008-1391

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Anwendungen, die die strfmon-API verwenden, können einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes ausgesetzt sein

    Beschreibung: In der strfmon-Implementierung von Libsystem liegen mehrere Ganzzahlüberläufe vor. Eine Anwendung, die strfmon mit großen Werten bestimmter Ganzzahlfelder im Zeichenkettenargument mit Formatierungshinweisen aufruft, kann unerwartet beendet werden oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt die Probleme durch eine verbesserte Abgrenzungsprüfung.

  • Managed Client

    CVE-ID: CVE-2008-4237

    Verfügbar für: Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Die verwalteten Bildschirmschonereinstellungen werden nicht angewendet

    Beschreibung: Die Methode, mit der die Software auf einem verwalteten Clientsystem hostspezifische Konfigurationsinformationen installiert, identifiziert das System nicht immer korrekt. Auf einem falsch identifizierten System werden die hostspezifischen Einstellungen nicht angewendet, einschließlich der Bildschirmschonersperre. Dieses Update behebt das Problem, indem der verwaltete Client die korrekte Systemidentifikation verwendet. Dieses Problem betrifft keine Systeme mit integriertem Ethernet. Wir danken John Barnes von ESRI und Trevor Lalish-Menagh von Tamman Technologies, Inc., dass sie uns auf dieses Problem hingewiesen haben.

  • network_cmds

    CVE-ID: CVE-2008-4222

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Ein entfernter Angreifer kann möglicherweise einen Denial-of-Service verursachen, wenn die Internetfreigabe aktiviert ist

    Beschreibung: Bei der Verarbeitung von TCP-Paketen in natd kann eine Endlosschleife auftreten. Durch das Senden eines in böser Absicht erstellten TCP-Pakets kann ein entfernter Angreifer möglicherweise einen Denial-of-Service verursachen, wenn die Internetfreigabe aktiviert ist. Durch dieses Update wird das Problem behoben, indem eine zusätzliche Validierung von TCP-Paketen erfolgt. Wir danken Alex Rosenberg von Ohmantics und Gary Teter von Paizo Publishing, dass sie uns auf dieses Problem hingewiesen haben.

  • Podcast Producer

    CVE-ID: CVE-2008-4223

    Verfügbar für: Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Ein entfernter Angreifer kann möglicherweise auf die Verwaltungsfunktionen von Podcast-Produzent zugreifen

    Beschreibung: Auf dem Podcast-Produzent-Server besteht ein Problem mit der Authentifizierungsumgehung, das einem nicht autorisierten Benutzer möglicherweise den Zugriff auf Verwaltungsfunktionen auf dem Server ermöglicht. Dieses Update behebt das Problem durch eine verbesserte Handhabung von verbesserten Zugriffsbeschränkungen. Podcast-Produzent wurde in Mac OS X Server 10.5 eingeführt.

  • UDF

    CVE-ID: CVE-2008-4224

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 bis 10.5.5, Mac OS X Server 10.5 bis 10.5.5

    Auswirkung: Das Öffnen einer ISO-Datei kann zu einem unerwarteten Herunterfahren des Systems führen

    Beschreibung: Bei der Verarbeitung fehlerhafter UDF-Volumes besteht ein Problem mit der Eingabeüberprüfung. Das Öffnen einer in böser Absicht erstellten ISO-Datei kann zu einem unerwarteten Herunterfahren des Systems führen. Dieses Update behebt das Problem durch eine verbesserte Eingabeüberprüfung. Wir danken Mauro Notarianni von PCAX Solutions, dass er uns auf dieses Problem hingewiesen hat.

Wichtig: Der Hinweis auf Websites und Produkte von Drittanbietern erfolgt ausschließlich zu Informationszwecken und stellt weder eine Billigung noch eine Empfehlung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Informationen und Produkten auf Websites von Drittanbietern. Apple stellt diese Informationen seinen Kunden lediglich als Serviceleistung zur Verfügung. Apple hat die auf diesen Websites gefundenen Informationen nicht geprüft und übernimmt keine Gewähr für ihre Genauigkeit oder Zuverlässigkeit. Die Verwendung von Informationen oder Produkten im Internet birgt Risiken, und Apple übernimmt diesbezüglich keine Verantwortung. Wir bitten um Verständnis, dass Websites von Drittanbietern von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Website hat. Weitere Informationen sind beim Anbieter erhältlich.

Veröffentlichungsdatum: