Über den Inhalt von Sicherheitsupdate 2010-003

Dieses Dokument beschreibt das Sicherheitsupdate 2010-003.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.

Sicherheitsupdate 2010-003

• ATS

  CVE-ID: CVE-2010-1120

  Verfügbar für: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.3, Mac OS X Server v10.6.3

  Auswirkung: Das Anzeigen oder Herunterladen eines Dokuments, das eine in böswilliger Absicht erstellte eingebettete Schriftart enthält, kann zur Ausführung von beliebigem Code führen.

  Beschreibung: Es gibt ein ungeprüftes Indexproblem bei der Verarbeitung eingebetteter Schriften durch Apple Type Services. Das Anzeigen oder Herunterladen eines Dokuments, das eine in böswilliger Absicht erstellte eingebettete Schriftart enthält, kann zur Ausführung von beliebigem Code führen. Dieses Problem wird durch eine verbesserte Indexüberprüfung behoben. Wir danken Charlie Miller in Zusammenarbeit mit der Zero Day Initiative von TippingPoint für die Meldung dieses Problems.