Informationen zum Sicherheitsinhalt von OS X Mountain Lion v10.8.5 und zum Sicherheitsupdate 2013-004

Dieses Dokument beschreibt den Sicherheitsinhalt von OS X Mountain Lion v10.8.5 und des Sicherheitsupdates 2013-004.

Diese können über die Einstellungen Softwareupdate oder über Apple-Downloads heruntergeladen und installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter “Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.“

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter “Apple-Sicherheitsupdates„.

OS X Mountain Lion v10.8.5 und Sicherheitsupdate 2013-004

  • Apache

    Verfügbar für: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Mehrere Schwachstellen in Apache

    Beschreibung: In Apache bestehen mehrere Schwachstellen, von denen die schwerwiegendste zu Cross-Site-Scripting führen kann. Diese Probleme wurden durch eine Aktualisierung von Apache auf Version 2.2.24 behoben.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Verfügbar für:OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Mehrere Schwachstellen in BIND

    Beschreibung: In BIND bestehen mehrere Schwachstellen, von denen die schwerwiegendste zu einem Denial-of-Service führen kann. Diese Probleme wurden durch die Aktualisierung von BIND auf Version 9.8.5-P1 behoben. CVE-2012-5688 wirkte sich nicht auf Systeme mit Mac OS X v10.7 aus.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Root-Zertifikate wurden aktualisiert

    Beschreibung: Mehrere Zertifikate wurden zur Liste der System-Roots hinzugefügt oder aus dieser entfernt. Die vollständige Liste der erkannten System-Roots kann über die Anwendung „Schlüsselbund“ eingesehen werden.

  • ClamAV

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    Auswirkung: Mehrere Schwachstellen in ClamAV

    Beschreibung: Es gibt mehrere Schwachstellen in ClamAV , von denen die schwerwiegendste zur Ausführung von willkürlichem Code führen kann. Dieses Update behebt die Probleme durch Aktualisierung von ClamAV auf Version 0.97.8.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Verfügbar für: OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung von JBIG2-codierten Daten in PDF-Dateien konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1025: Felix Groebert vom Google-Sicherheitsteam

  • ImageIO

    Verfügbar für: OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

    Beschreibung: Bei der Verarbeitung von JPEG2000-codierten Daten in PDF-Dateien konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1026: Felix Groebert vom Google-Sicherheitsteam

  • Installer

    Verfügbar für: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Pakete konnten nach einem Widerruf des Zertifikats geöffnet werden

    Beschreibung: Wenn das Installationsprogramm ein widerrufenes Zertifikat festgestellt hat, wurde ein Dialog mit einer Option zum Fortfahren angezeigt. Das Problem wurde gelöst, indem der Dialog entfernt und alle widerrufenen Pakete abgelehnt wurden.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Ein Angreifer ist möglicherweise in der Lage, durch IPSec Hybrid Auth geschützte Daten abzufangen

    Beschreibung: Der DNS-Name eines IPSec Hybrid Auth-Servers wurde nicht auf das Zertifikat abgestimmt, sodass ein Angreifer mit einem Zertifikat für einen Server die Identität eines anderen vortäuschen konnte. Dieses Problem wurde durch eine ordnungsgemäße Überprüfung des Zertifikats behoben.

    CVE-ID

    CVE-2013-1028: Alexander Traud von www.traud.de

  • Kernel

    Verfügbar für: OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Ein lokaler Netzwerkbenutzer kann einen Denial-of-Service verursachen

    Beschreibung: Eine fehlerhafte Überprüfung im IGMP-Paket-Parsing-Code im Kernel ermöglichte es einem Benutzer, der IGMP-Pakete an das System senden konnte, einen Kernel-Fehler auszulösen. Das Problem wurde durch Entfernen der Überprüfung behoben.

    CVE-ID

    CVE-2013-1029: Christopher Bohn von PROTECTSTAR INC.

  • Mobile Device Management

    Verfügbar für: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Passwörter werden möglicherweise für andere lokale Benutzer offengelegt

    Beschreibung: Ein Passwort wurde über die Befehlszeile an mdmclient übergeben, wodurch es für andere Benutzer auf demselben System sichtbar wurde. Das Problem wurde durch die Übermittlung des Passworts über eine Pipe behoben.

    CVE-ID

    CVE-2013-1030: Per Olofsson von der Universität von Göteborg

  • OpenSSL

    Verfügbar für: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Mehrere Schwachstellen in OpenSSL

    Beschreibung: In OpenSSL bestehen mehrere Schwachstellen, von denen die schwerwiegendste zur Preisgabe von Benutzerinformationen führen kann. Diese Probleme wurden durch Aktualisierung von OpenSSL auf Version 0.9.8y behoben.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Mehrere Schwachstellen in PHP

    Beschreibung: In PHP bestehen mehrere Schwachstellen, von denen die schwerwiegendste zur Ausführung von willkürlichem Code führen kann. Diese Probleme wurden durch eine Aktualisierung von PHP auf Version 5.3.26 behoben.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Verfügbar für:OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Mehrere Schwachstellen in PostgreSQL

    Beschreibung: In PostgreSQL bestehen mehrere Schwachstellen, von denen die schwerwiegendste zu Datenbeschädigung oder Berechtigungseskalation führen kann. CVE-2013-1901 betrifft keine Systeme mit OS X Lion. Dieses Update behebt die Probleme, indem es PostgreSQL in Systemen mit OS X Mountain Lion auf Version 9.1.9 und in Systemen mit OS X Lion auf Version 9.0.4 aktualisiert.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    Verfügbar für: OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Der Bildschirmschoner startet möglicherweise nicht nach dem angegebenen Zeitraum

    Beschreibung: In den Codesignatur-Tools trat ein Berechtigungsfehler auf. Dieses Problem wurde durch eine verbesserte Verarbeitung der Sperre behoben.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung von ‚idsc‘-Atomen in QuickTime-Filmdateien gab es ein Problem mit der Beschädigung des Speichers. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1032: Jason Kratzer in Zusammenarbeit mit iDefense VCP

  • Screen Lock

    Verfügbar für: OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Ein Benutzer mit Zugriff auf die Bildschirmfreigabe kann möglicherweise die Bildschirmsperre umgehen, wenn ein anderer Benutzer angemeldet ist

    Beschreibung: Bei der Verarbeitung von Bildschirmfreigabe-Sitzungen durch die Bildschirmsperre gab es ein Problem mit dem Sitzungsmanagement. Das Problem wurde durch eine verbesserte Sitzungsverfolgung behoben.

    CVE-ID

    CVE-2013-1033 : Jeff Grisso von Atos IT Solutions, Sébastien Stormacq

  • sudo

    Verfügbar für: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 bis v10.8.4

    Auswirkung: Ein Angreifer, der die Kontrolle über das Konto eines Admin-Benutzers hat, kann möglicherweise Root-Rechte erlangen, ohne das Passwort des Benutzers zu kennen

    Beschreibung: Durch das Einstellen der Systemuhr kann ein Angreifer möglicherweise sudo verwenden, um Root-Rechte auf Systemen zu erlangen, auf denen sudo zuvor verwendet wurde. Unter OS X können nur Admin-Benutzer die Systemuhr ändern. Dieses Problem wurde durch die Überprüfung auf einen ungültigen Zeitstempel behoben.

    CVE-ID

    CVE-2013-1775

  • Hinweis: OS X Mountain Lion v10.8.5 behebt auch ein Problem, bei dem bestimmte Unicode-Zeichenfolgen dazu führen konnten, dass Anwendungen unerwartet beendet wurden.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: