Informationen zum Sicherheitsupdate 2008-005

In diesem Dokument wird das Sicherheitsupdate 2008-005 beschrieben, das mithilfe der Option Softwareupdate oder über Apple-Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter “Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.“

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.

Sicherheitsupdate 2008-005

• Open Scripting Architecture

  CVE-ID: CVE-2008-2830

  Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

  Auswirkung: Ein lokaler Benutzer kann Befehle mit erhöhten Rechten ausführen

  Beschreibung: Es gibt ein Designproblem in den Open Scripting Architecture-Bibliotheken bei der Entscheidung, ob Skripting-Addition-Plug-Ins in Programme geladen werden sollen, die mit erhöhten Rechten ausgeführt werden. Das Senden von Skript-Zusatz-Befehlen an ein privilegiertes Programm kann die Ausführung von willkürlichem Code mit diesen Privilegien ermöglichen. Durch dieses Update wird das Problem behoben, indem Scripting Addition-Plug-Ins nicht mehr in Programme geladen werden, die mit Systemprivilegien ausgeführt werden. Die kürzlich gemeldeten Probleme mit ARDAgent und SecurityAgent werden durch dieses Update behoben. Danke an Charles Srstka für die Meldung dieses Problems.

• BIND

  CVE-ID: CVE-2008-1447

  Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

  Auswirkung: BIND ist anfällig für Veränderungen des DNS-Caches und kann gefälschte Informationen zurückgeben

  Beschreibung: Der Berkeley Internet Name Domain (BIND) Server wird mit Mac OS X ausgeliefert und ist standardmäßig nicht aktiviert. Wenn diese Funktion aktiviert ist, sorgt der BIND-Server für die Übersetzung zwischen Hostnamen und IP-Adressen. Eine Schwachstelle des DNS-Protokolls ermöglicht Angreifern, Verfälschungsangriffe auf den DNS-Cache (Cache Poisoning) durchzuführen. Dadurch würden Systeme, die sich bezüglich des DNS auf den BIND-Server verlassen, verfälschte Informationen erhalten. Mit diesem Update wird das Problem mittels zufallsgenerierter Source Port-Nummern angegangen, um so die Widerstandsfähigkeit gegen Cache Poisoning-Angriffe wesentlich zu erhöhen. Für Systeme mit Mac OS X v10.4.11 wird BIND auf Version 9.3.5-P1 aktualisiert. Für Systeme mit Mac OS X v10.5.4 wird BIND auf Version 9.4.2-P1 aktualisiert. Danke an Dan Kaminsky von IOActive für die Meldung dieses Problems.

• CarbonCore

  CVE-ID: CVE-2008-7259

  Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

  Auswirkung: Die Verarbeitung langer Dateinamen kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

  Beschreibung: Bei der Verarbeitung von langen Dateinamen titt ein Stapelpufferüberlauf auf. Die Verarbeitung von langen Dateinamen kann zu einem unerwarteten Programmabbruch oder der Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Danke an Thomas Raffetseder vom International Secure Systems Lab und Sergio 'shadown' Alvarez von der n.runs AG für die Meldung dieses Problems.

• CoreGraphics

  CVE-ID: CVE-2008-2321

  Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

  Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

  Beschreibung: CoreGraphics enthält Probleme mit Speicherfehlern bei der Verarbeitung von Argumenten. Die Weitergabe von ungeprüftem Code an CoreGraphics mittels eines Programms, z. B. eines Webbrowsers, kann zu einem unerwarteten Programmabbruch oder der Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Danke an Michal Zalewski von Google für die Meldung dieses Problems.

• CoreGraphics

  CVE-ID: CVE CVE-2008-2322

  Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

  Auswirkung: Das Anzeigen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

  Beschreibung: Ein Integer-Überlauf bei der Verarbeitung von PDF-Dateien kann zu einem Heap-Pufferüberlauf führen. Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine zusätzliche Überprüfung von PDF-Dateien. Danke an Pariente Kobi, der mit dem iDefense VCP zusammenarbeitet, für die Meldung dieses Problems.

• Data Detectors Engine

  CVE-ID: CVE-2008-2323

  Verfügbar für: Mac OS X v10.5.4, Mac OS X Server v10.5.4

  Auswirkung: Das Anzeigen von in böser Absicht erstellten Nachrichten mit Data Detectors kann zu einem unerwarteten Programmabbruch führen

  Beschreibung: Data Detectors werden verwendet, um Referenzinformationen aus Textinhalten oder Archiven zu extrahieren. Es besteht ein Problem in Bezug auf den Ressourcenverbrauch bei der Verarbeitung von Textinhalten durch Data Detectors. Das Anzeigen von in böser Absicht erstellten Inhalten in einem Programm, das Data Detectors verwendet, kann zu einem Denial-of-Service führen, aber nicht zur Ausführung von willkürlichem Code. Dieses Problem betrifft keine Systeme vor Mac OS X v10.5.

• Festplattendienstprogramm

  CVE-ID: CVE-2008-2324

  Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11

  Auswirkung: Ein lokaler Benutzer kann Systemberechtigungen erhalten

  Beschreibung: Das Tool „Zugriffsrechte reparieren“ im Festplattendienstprogramm verwendet /usr/bin/emacs setuid. Nachdem das Tool „Zugriffsrechte reparieren“ reparieren ausgeführt wurde, kann ein lokaler Benutzer mit Hilfe von Emacs Befehle mit Systemberechtigungen auszuführen. Mit diesem Update wird das Problem im Tool „Zugriffsrechte reparieren“ mittels einer Korrektur der Emacs zugewiesenen Zugriffsrechte behoben. Dieses Problem betrifft keine Systeme, auf denen Mac OS X v10.5 und neuer ausgeführt wird. Danke an Anton Rang und Brian Timares für die Meldung dieses Problems.

• OpenLDAP

  CVE-ID: CVE-2008-2952

  Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

  Auswirkung: Ein entfernter Angreifer ist möglicherweise in der Lage, einen unerwarteten Programmabbruch zu verursachen

  Beschreibung: Es gibt ein Problem in der ASN.1 BER-Dekodierung von OpenLDAP. Die Verarbeitung einer in böswilliger Absicht erstellten LDAP-Nachricht kann einen Assertionsfehler auslösen und zu einem unerwarteten Abbruch des OpenLDAP-Daemons „slapd“ führen. Dieses Update behebt das Problem durch eine zusätzliche Überprüfung von LDAP-Nachrichten.

• OpenLDAP

  CVE-ID: CVE-2007-5135

  Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

  Auswirkung: Ein entfernter Angreifer ist möglicherweise in der Lage, einen unerwarteten Programmabbruch oder die Ausführung von willkürlichem Code zu verursachen

  Beschreibung: Es gibt ein Problem in der Utility-Funkton SSL_get_shared_ciphers() innerhalb von OpenSSL. In einem Programm, das diese Funktion verwendet, kann die Verarbeitung von in böswilliger Absicht erstellten Paketen zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung.

• PHP

  CVE-ID: CVE-2008-2051, CVE-2008-2050, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

  Verfügbar für: Mac OS X v10.5.4, Mac OS X Server v10.5.4

  Auswirkung: Mehrere Schwachstellen in PHP 5.2.5

  Beschreibung: PHP wurde auf Version 5.2.6 aktualisiert, um mehrere Schwachstellen zu schließen, von denen die schwerwiegendste zur Ausführung von willkürlichem Code führen kann. Weitere Informationen finden sich auf der PHP-Website unter http://www.php.net/ Die PHP-Version 5.2.x wird nur für Systeme mit Mac OS X v10.5 bereitgestellt.

• CoreGraphics

  CVE-ID: CVE-2008-2325

  Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

  Auswirkung: Das Laden einer in böswilliger Absicht erstellten Microsoft Office-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

  Beschreibung: Mehrere Speicherfehler bestehen bei der Verarbeitung von Microsoft Office-Dateien durch QuickLook. Das Laden einer in böser Absicht erstellten Microsoft Office-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Dieses Problem betrifft keine Systeme vor Mac OS X v10.5.

• rsync

  CVE-ID: CVE-2007-6199, CVE-2007-6200

  Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

  Auswirkung: Dateien außerhalb des Modul-Roots können von außen gelesen oder überschrieben werden

  Beschreibung: Es existieren verschiedene Schwachstellen in der Pfadüberprüfung bei der Verarbeitung von symbolischen Links, wenn rsync im Daemon-Modus ausgeführt wird. Durch das Platzieren von symbolischen Links in einem rsync-Modul können Dateien außerhalb des Modul-Roots von außen gelesen oder überschrieben werden. Dieses Update behebt das Problem durch eine verbesserte Handhabung von symbolischen Links. Weitere Informationen zu den angewandten Patches finden sich auf der rsync-Website unter http://rsync.samba.org/