Informationen zum Security Update 2007-009

In diesem Dokument wird das Security Update 2007-009 beschrieben, das mithilfe der Option Software-Aktualisierung oder über Apple Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden für die Bezugnahme auf die Schwachstellen zur weiteren Information CVE-IDs verwendet.

Informationen zu weiteren Security Updates finden Sie hier: "Apple Security Updates".

Security Update 2007-009

  • Adressbuch

    CVE-ID: CVE-2007-4708

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Im URL-Handler von Adressbuch existiert eine Formatzeichenketten-Schwachstelle. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Website aufzurufen, kann ein Angreifer eine unerwartete Programmbeendigung verursachen oder willkürlichen Code ausführen. Das vorliegende Update löst dieses Problem durch verbessertes Formatzeichenketten-Handling. Dieses Problem betrifft keine Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird.

  • CFNetwork

    CVE-ID: CVE-2007-4709

    Verfügbar für: Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zum automatischen Laden von Dateien in willkürliche Ordner führen, auf die der Benutzer Schreibzugriff hat.

    Beschreibung: Bei der Verarbeitung von geladenen Dateien in CFNetwork kommt es zu Path Traversal-Fehlern. Wird ein Benutzer dazu verleitet, eine in böser Absicht erstellte Website aufzurufen, kann dies zum automatischen Laden von Dateien in willkürliche Ordner führen, auf die der Benutzer Schreibzugriff hat. Mit diesem Update wird das Problem durch verbesserte Verarbeitung von HTTP-Antworten behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Wir danken Sean Harding für die Meldung dieses Problems.

  • ColorSync

    CVE-ID: CVE-2007-4710

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Das Anzeigen eines in böser Absicht erstellten Bildes mit eingebettetem ColorSync-Profil kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von Bildern mit eingebettetem ColorSync-Profil existiert ein Speicherfehlerproblem. Indem ein Benutzer dazu verleitet wird, ein in böser Absicht erstelltes Bild zu öffnen, kann ein Angreifer eine unerwartete Programmbeendigung verursachen oder willkürlichen Code ausführen. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Bildvalidierung behoben. Dieses Problem betrifft keine Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird. Wir danken Tom Ferris vom Adobe Secure Software Engineering Team (ASSET) für die Meldung dieses Problems.

  • Core Foundation

    CVE-ID: CVE-2007-5847

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Die Verwendung der CFURLWriteDataAndPropertiesToResource API kann zur Preisgabe vertraulicher Informationen führen.

    Beschreibung: In der CFURLWriteDataAndPropertiesToResource API existiert eine Wettlaufsituation, die zur Erstellung von Dateien mit unsicheren Berechtigungen führen kann. Dies kann zur Preisgabe von vertraulichen Informationen führen. Mit diesem Update wird das Problem durch bessere Dateihandhabung behoben. Dieses Problem betrifft keine Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird.

  • CUPS

    CVE-ID: CVE-2007-5848

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Ein lokaler Admin-Benutzer könnte Systemrechte erlangen

    Beschreibung: Im Druckertreiber für CUPS gibt es ein Pufferüberlaufproblem. Dadurch kann ein lokaler Admin-Benutzer Systemrechte erlangen, indem eine in böser Absicht erstellte URI an den CUPS-Dienst weitergeleitet wird. Mit diesem Update wird das Problem dadurch behoben, dass die Größe des Zielpuffers auf die Aufnahme der Daten ausgelegt ist. Dieses Problem betrifft keine Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird. Wir danken Dave Camp von Critical Path Software für die Meldung dieses Problems.

  • CUPS

    CVE-ID: CVE-2007-4351

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Entfernte Angreifer können eine unerwartete Programmbeendigung oder die Ausführung willkürlichen Codes verursachen

    Beschreibung: Bei der Verarbeitung von IPP (Internet Printing Protocol)-Tags kommt es zu einem Speicherfehler, was dazu führen kann, dass ein entfernter Angreifer eine unerwartete Programmbeendigung oder die Ausführung willkürlichen Codes verursachen kann. Mit diesem Update wird das Problem behoben, indem bessere Abgrenzungsüberprüfungen durchgeführt werden.

  • CUPS

    CVE-ID: CVE-2007-5849

    Verfügbar für: Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Wenn SNMP aktiviert ist, können entfernte Angreifer eine unerwartete Programmbeendigung oder die Ausführung willkürlichen Codes verursachen.

    Beschreibung: Das CUPS-Backend-SNMP-Programm sendet SNMP-Anfragen, um Netzwerkdruckserver zu ermitteln. Ein Ganzzahlunterlauf bei der Verarbeitung von SNMP-Antworten kann zum Stapelpufferüberlauf führen. Wenn SNMP aktiviert ist, kann ein entfernter Angreifer dieses Problem ausnutzen und eine in böser Absicht erstellte SNMP-Antwort senden, was zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen kann. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung von SNMP-Antworten behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Wir danken Wei Wang von McAfee Avert Labs für die Meldung dieses Problems.

  • Desktop Services

    CVE-ID: CVE-2007-5850

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Das Öffnen eines Verzeichnisses mit einer in böser Absicht erstellten .DS_Store-Datei im Finder kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei den Desktop Services existiert ein Heap-Pufferüberlauf. Indem ein Benutzer dazu verleitet wird, ein Verzeichnis mit einer in böser Absicht erstellten .DS_Store-Datei zu öffnen, kann ein Angreifer willkürlichen Code ausführen. Mit diesem Update wird das Problem behoben, indem bessere Abgrenzungsüberprüfungen durchgeführt werden. Dieses Problem betrifft keine Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird.

  • Flash Player Plug-In

    CVE-ID: CVE-2007-5476

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Mehrere Schwachstellen im Adobe Flash Player Plug-In

    Beschreibung: Im Adobe Flash Player Plug-In bestehen mehrere Probleme bei der Eingabevalidierung. Dies kann zur Ausführung willkürlichen Codes führen. In diesem Update wird das Problem durch Aktualisierung des Adobe Flash Player auf Version 9.0.115.0 behoben. Weitere Informationen finden Sie auf der Website von Adobe unter: http://www.adobe.com/support/security/bulletins/apsb07-20.html. Wir danken Opera Software für die Meldung dieses Problems.

  • GNU Tar

    CVE-ID: CVE-2007-4131

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Durch Extrahieren eines in böser Absicht erstellten Tar-Archivs können willkürliche Dateien überschrieben werden

    Beschreibung: In GNU Tar existiert ein Directory Traversal-Problem. Indem ein Benutzer dazu verleitet wird, ein in böser Absicht erstelltes Tar-Archiv zu extrahieren, kann ein Angreifer veranlassen, dass willkürliche Dateien überschrieben werden. Dieses Problem wird durch Ausführen einer zusätzlichen Tar-Dateivalidierung behoben. Dieses Problem betrifft keine Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird.

  • iChat

    CVE-ID: CVE-2007-5851

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Eine Person in einem lokalen Netzwerk kann eine Videoverbindung ohne die Zustimmung des Benutzers herstellen

    Beschreibung: Ein Angreifer im lokalen Netzwerk kann eine Videokonferenz ohne die Zustimmung des Benutzers initiieren. In diesem Update wird das Problem behoben, indem die Zustimmung des Benutzers zu einer Videokonferenz angefordert wird. Dieses Problem betrifft keine Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird.

  • E/A-Speicherreihe

    CVE-ID: CVE-2007-5853

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Das Öffnen eines in böser Absicht erstellten Festplattenabbilds kann zu einem unerwarteten Ausschalten des Systems oder der Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von GUID-Partitionstabellen innerhalb eines Festplattenabbilds besteht ein Speicherfehlerproblem. Indem ein Benutzer dazu verleitet wird, ein in böser Absicht erstelltes Festplattenabbild zu öffnen, kann ein Angreifer ein unerwartetes Ausschalten des Systems oder die Ausführung willkürlichen Codes verursachen. In diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung der GUID-Partitionstabellen behoben. Dieses Problem betrifft keine Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird.

  • Launch Services

    CVE-ID: CVE-2007-5854

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Das Öffnen einer in böser Absicht erstellten HTML-Datei kann zur Preisgabe von Informationen oder siteübergreifendem Skripting führen.

    Beschreibung: Launch Services behandelt HTML-Dateien nicht als potenziell unsicheren Inhalt. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte HTML-Datei zu öffnen, kann ein Angreifer die Preisgabe vertraulicher Informationen oder siteübergreifendes Skripting verursachen. In diesem Update wird das Problem behoben, indem HTML-Dateien als potenziell unsicherer Inhalt behandelt werden. Wir danken Michal Zalewski von Google Inc. für die Meldung dieses Problems.

  • Launch Services

    CVE-ID: CVE-2007-6165

    Verfügbar für: Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Das Öffnen eines ausführbaren E-Mail-Anhangs kann zur Ausführung willkürlichen Codes ohne Warnung führen.

    Beschreibung: In Launch Services existiert ein Implementierungsproblem, das dazu führen kann, dass ausführbare E-Mail-Anhänge ohne Warnung ausgeführt werden, wenn ein Benutzer einen E-Mail-Anhang öffnet. In diesem Update wird das Problem behoben, indem der Benutzer vor der Ausführung ausführbarer E-Mail-Anhänge gewarnt wird. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Wir danken Xeno Kovah für die Meldung dieses Problems.

  • Mail

    CVE-ID: CVE-2007-5855

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Mit dem Account-Assistenten eingerichtete SMTP-Accounts verwenden unter Umständen Identifizierungen mit einfachem Text, auch wenn die Identifizierungsoption "MD5 Challenge-Response" verfügbar ist.

    Beschreibung: Wenn ein SMTP-Account mit Hilfe des Account-Assistenten eingerichtet wurde, die SMTP-Identifizierung gewählt wurde und der Server nur die Identifizierungsoptionen "MD5 Challenge-Response" und "einfacher Text" unterstützt, verwendet Mail standardmäßig die Identifizierung mit einfachem Text. In diesem Update wird das Problem behoben, indem sichergestellt wird, dass der sicherste verfügbare Mechanismus verwendet wird. Dieses Problem betrifft keine Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird.

  • perl

    CVE-ID: CVE-2007-5116

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Das Parsen fester Ausdrücke kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der polymorphen Operationscodeunterstützung der Perl Regular Expression-Kompilierung existiert ein Längenberechnungsproblem. Dies kann unter Umständen dazu führen, dass ein Angreifer einen Speicherfehler verursacht, der zur Ausführung willkürlichen Codes durch den Wechsel von Byte- auf Unicode (UTF)-Zeichen in einem festen Ausdruck führt. In diesem Update wird das Problem behoben, indem die Länge erneut berechnet wird, wenn sich die Zeichencodierung ändert. Wir danken Tavis Ormandy und Will Drewry vom Google Security Team für die Meldung dieses Problems.

  • python

    CVE-ID: CVE-2007-4965

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Das Verarbeiten von Bildinhalten mit dem ImageOP-Modul kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen.

    Beschreibung: Im ImageOP-Modul von Python bestehen mehrere Ganzzahlüberläufe. Diese können zu Pufferüberläufen in Programmen führen, die das Modul zur Verarbeitung in böser Absicht erstellter Bildinhalte verwenden. Dies kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung von Bildinhalten behoben.

  • Schnellvorschau

    CVE-ID: CVE-2007-5856

    Verfügbar für: Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Das Anzeigen einer Vorschau einer Datei bei aktivierter Schnellvorschau kann zur Preisgabe vertraulicher Informationen führen.

    Beschreibung: Beim Anzeigen einer Vorschau einer HTML-Datei sind Netzwerkanfragen durch Plug-Ins nicht eingeschränkt. Dies kann zur Preisgabe vertraulicher Informationen führen. In diesem Update wird das Problem durch Deaktivierung von Plug-Ins behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind.

  • Schnellvorschau

    CVE-ID: CVE-2007-5857

    Verfügbar für: Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Durch Anzeigen einer Vorschau einer Filmdatei werden möglicherweise im Film enthaltene URLs aufgerufen

    Beschreibung: Durch Erstellen eines Symbols für eine Filmdatei oder Anzeigen einer Vorschau der Datei in der Schnellvorschau werden möglicherweise im Film enthaltene URLs aufgerufen. In diesem Update wird das Problem durch Deaktivierung von HREFTrack beim Durchsuchen von Filmdateien behoben. Dieses Problem hat keine Auswirkungen auf Systeme, die älter als Mac OS X 10.5 sind, sowie auf Systeme, auf denen QuickTime 7.3 installiert ist. Wir danken Lukhnos D. Liu von Lithoglyph Inc. für die Meldung dieses Problems.

  • Ruby

    CVE-ID: CVE-2007-5770

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: In Ruby-Bibliotheken existieren mehrere Probleme bei der Validierung von SSL-Zertifikaten

    Beschreibung: Mehrere Ruby-Bibliotheken sind von Problemen bei der Validierung von SSL-Zertifikaten betroffen. Dies kann zu Man-in-the-middle-Angriffen auf Programme führen, die eine betroffene Bibliothek verwenden. Mit diesem Update wird das Problem durch Anwenden des Ruby-Patches behoben.

  • Ruby

    CVE-ID: CVE-2007-5379, CVE-2007-5380, CVE-2007-6077

    Verfügbar für: Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Es existieren mehrere Schwachstellen in Rails 1.2.3

    Beschreibung: In Rails 1.2.3 existieren mehrere Schwachstellen, die zur Preisgabe vertraulicher Informationen führen können. Mit diesem Update wird das Problem behoben, indem Rails auf Version 1.2.6 aktualisiert wird. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind.

  • Safari

    CVE-ID: CVE-2007-5858

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zur Preisgabe vertraulicher Informationen führen.

    Beschreibung: WebKit erlaubt einer Seite, zu den Subframes einer anderen Seite zu navigieren. Das Aufrufen einer in böser Absicht erstellten Webseite kann zur Auslösung siteübergreifenden Skriptings und so zur Preisgabe vertraulicher Informationen führen. Mit diesem Update wird das Problem durch strengere Richtlinien bezüglich der Frame-Navigation behoben.

  • Safari RSS

    CVE-ID: CVE-2007-5859

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Das Öffnen von in böser Absicht erstellten Feed- URLs kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Feed-URLs in Safari kommt es zu einem Speicherfehler. Indem ein Benutzer dazu verleitet wird, einen in böser Absicht erstellte URL zu öffnen, kann ein Angreifer eine unerwartete Programmbeendigung verursachen oder willkürlichen Code ausführen. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung von Feed- URLs und Anzeigen einer Fehlermeldung im Falle eines ungültigen URL behoben. Dieses Problem betrifft keine Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird.

  • Samba

    CVE-ID: CVE-2007-4572, CVE-2007-5398

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Mehrere Schwachstellen in Samba

    Beschreibung: In Samba existieren mehrere Schwachstellen, von denen die entfernte Ausführung von Codes am ernsthaftesten ist. Mit diesem Update wird das Problem durch Anwenden von Patches aus dem Samba-Projekt behoben. Weitere Informationen finden Sie auf der Samba-Website unter http://www.samba.org/samba/history/security.html. CVE-2007-4138 hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Wir danken Alin Rad Pop von Secunia Research für die Meldung dieses Problems.

  • Shockwave Plug-In

    CVE-ID: CVE-2006-0024

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Das Öffnen von in böser Absicht erstellten Shockwave-Inhalten kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: Im Shockwave Player existieren mehrere Schwachstellen. Indem ein Benutzer zum Öffnen von in böser Absicht erstelltem Shockwave-Inhalt verleitet wird, kann ein Angreifer willkürlichen Code ausführen. In diesem Update wird das Problem durch Aktualisierung des Shockwave Players auf Version 10.1.1.016 behoben. Wir danken Jan Hacker von ETH Zurich für die Meldung des Shockwave-Problems.

  • SMB

    CVE-ID: CVE-2007-3876

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Lokale Benutzer können willkürlichen Code möglicherweise mit Systemrechten ausführen.

    Beschreibung: Im Code, der von mount_smbfs- und smbutil-Programmen zum Parsen von Befehlszeilenargumenten verwendet wird, existiert ein Stapelpufferüberlauf. Dies kann dazu führen, dass ein lokaler Benutzer willkürlichen Code mit Systemrechten ausführen kann. Mit diesem Update wird das Problem behoben, indem bessere Abgrenzungsüberprüfungen durchgeführt werden. Dieses Problem betrifft keine Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird. Wir danken Sean Larsson von VeriSign iDefense Labs für die Meldung dieses Problems.

  • Software-Aktualisierung

    CVE-ID: CVE-2007-5863

    Verfügbar für: Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Ein Man-in-the-middle-Angriff kann zur Ausführung willkürlicher Befehle durch die Software-Aktualisierung führen.

    Beschreibung: Wenn die Software-Aktualisierung nach neuen Updates sucht, verarbeitet sie eine Verteilungsdefinitionsdatei, die vom Aktualisierungsserver gesendet wurde. Durch Abfangen von Anfragen an den Aktualisierungsserver kann ein Angreifer eine in böser Absicht erstellte Verteilungsdefinitionsdatei mit der Option "externe Skripts zulassen" senden, was zur Ausführung willkürlicher Befehle führen kann, wenn ein System nach Aktualisierungen sucht. In diesem Update wird das Problem durch Unterbindung der Option "externe Skripts zulassen" in der Software-Aktualisierung behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Wir danken Moritz Jodeit für die Meldung dieses Problems.

  • Spin Tracer

    CVE-ID: CVE-2007-5860

    Verfügbar für: Mac OS X 10.5.1, Mac OS X Server 10.5.1

    Auswirkung: Lokale Benutzer können willkürlichen Code möglicherweise mit Systemrechten ausführen.

    Beschreibung: Bei der Verarbeitung von Ausgabedateien in SpinTracer bestehen unsichere Dateioperationen. Dadurch kann ein lokaler Benutzer willkürlichen Code mit Systemrechten ausführen. In diesem Update wird das Problem durch verbesserte Handhabung der Ausgabedateien behoben. Dieses Problem hat keine Auswirkung auf Systeme, die älter als Mac OS X 10.5 sind. Wir danken Kevin Finisterre von DigitalMunition für die Meldung dieses Problems.

  • Spotlight

    CVE-ID: CVE-2007-5861

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Das Laden einer in böser Absicht erstellten .xls-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen.

    Beschreibung: In Microsoft Office Spotlight Importer besteht ein Speicherfehlerproblem. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte .xls-Datei zu laden, kann ein Angreifer eine unerwartete Programmbeendigung verursachen oder willkürlichen Code ausführen. In diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung von .xls-Dateien behoben. Dieses Problem betrifft keine Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird.

  • tcpdump

    CVE-ID: CVE-2007-1218, CVE-2007-3798

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Mehrere Schwachstellen in tcpdump

    Beschreibung: In tcpdump existieren mehrere Schwachstellen, von denen die ernsthafteste zur Ausführung willkürlichen Codes führen kann. Mit diesem Update wird das Problem behoben, indem tcpdump auf Version 3.9.7 aktualisiert wird. Dieses Problem hat keine Auswirkung auf Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird.

  • XQuery

    CVE-ID: CVE-2007-1659, CVE-2007-1660, CVE-2007-1661, CVE-2007-1662, CVE-2007-4766, CVE-2007-4767, CVE-2007-4768

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Auswirkung: Mehrere Schwachstellen bei der Verarbeitung von festen Ausdrücken

    Beschreibung: In der PCRE-Bibliothek (Perl Compatible Regular Expressions), die von XQuery verwendet wird, existieren mehrere Schwachstellen, von denen die ernsthafteste zur Ausführung willkürlichen Codes führen kann. In diesem Update wird das Problem durch Aktualisierung von PCRE auf Version 7.3 behoben. Weitere Informationen finden Sie auf der PCRE-Website unter http://www.pcre.org/. Dieses Problem hat keine Auswirkung auf Systeme, auf denen Mac OS X 10.5 oder neuer ausgeführt wird. Wir danken Tavis Ormandy und Will Drewry vom Google Security Team für die Meldung dieses Problems.

Wichtig: Der Hinweis auf Websites und Produkte Dritter dient ausschließlich informativen Zwecken und ist weder als Billigung noch als Empfehlung zu verstehen Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Websites Dritter angeboten werden. Apple stellt seinen Kunden diese Informationen nur als Serviceleistung zur Verfügung. Apple hat die Informationen, die auf diesen Sites angeboten werden, nicht geprüft und macht keine Angaben in Bezug auf deren Korrektheit und Zuverlässigkeit. Die Verwendung aller Informationen und Produkte, die im Internet angeboten werden, unterliegt bestimmten Risiken; Apple übernimmt diesbezüglich keine Verantwortung. Bitte haben Sie Verständnis dafür, dass Websites Dritter von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Websites hat. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Veröffentlichungsdatum: