|
 |
|
Mac OS X Security Update behebt mehrere Sicherheitslücken
|
|
|
|
|
Secunia Advisory:
|
SA23155
|
|
|
Herausgegeben:
|
2006-11-29
|
|
Last Update:
|
2006-12-05
|
|
|
Gefahrenstufe:
|
Sehr kritisch
|
|
Auswirkung:
|
Sicherheitsumgehung
Manipulation von Daten
Enthüllung von sensiblen Informationen
Erweiterung von Rechten
DoS
Systemzugriff
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| OS: | Apple Macintosh OS X
|
|
| | CVE reference: | CVE-2005-3962 (Secunia mirror)
CVE-2006-1490 (Secunia mirror)
CVE-2006-1990 (Secunia mirror)
CVE-2006-2937 (Secunia mirror)
CVE-2006-2940 (Secunia mirror)
CVE-2006-3403 (Secunia mirror)
CVE-2006-3738 (Secunia mirror)
CVE-2006-4182 (Secunia mirror)
CVE-2006-4334 (Secunia mirror)
CVE-2006-4335 (Secunia mirror)
CVE-2006-4336 (Secunia mirror)
CVE-2006-4337 (Secunia mirror)
CVE-2006-4338 (Secunia mirror)
CVE-2006-4339 (Secunia mirror)
CVE-2006-4343 (Secunia mirror)
CVE-2006-4396 (Secunia mirror)
CVE-2006-4398 (Secunia mirror)
CVE-2006-4400 (Secunia mirror)
CVE-2006-4401 (Secunia mirror)
CVE-2006-4402 (Secunia mirror)
CVE-2006-4403 (Secunia mirror)
CVE-2006-4404 (Secunia mirror)
CVE-2006-4406 (Secunia mirror)
CVE-2006-4407 (Secunia mirror)
CVE-2006-4408 (Secunia mirror)
CVE-2006-4409 (Secunia mirror)
CVE-2006-4410 (Secunia mirror)
CVE-2006-4411 (Secunia mirror)
CVE-2006-4412 (Secunia mirror)
CVE-2006-5465 (Secunia mirror)
CVE-2006-5710 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Apple hat ein Security Update für Mac OS X herausgegeben, welches mehrere Sicherheitslücken behebt.
1) Ein Fehler im Airport-Treiber kann von böswilligen Personen ausgenutzt werden, um ein verwundbares System zu kompromittieren.
Weitere Informationen:
SA22679
2) Der "Apple Type Services" (ATS) Server erstellt Fehler-Log-Dateien auf unsichere Weise. Dies können böswillige lokale Benutzer ausnutzen, um mit System-Privilegien Dateien zu erstellen oder zu überschreiben.
3) Mehrere Begrenzungsfehler im "Apple Type Services" (ATS) Server können von böswilligen lokalen Benutzern ausgenutzt werden, um einen Pufferüberlauf zu verursachen und beliebigen Code mit System-Privilegien auszuführen, indem ein speziell präparierter Request gesendet wird.
4) Ein Begrenzungsfehler in den "Apple Type Services" (ATS) kann ausgenutzt werden, um mit einer speziell präparierten Font-Datei einen Stack-basierten Pufferüberlauf zu verursachen und ermöglicht die Ausführung von beliebigem Code mit System-Privilegien.
5) Ein Fehler im CFNetwork Framework kann ausgenutzt werden, um mit dem FTP-Client eines Benutzers beliebige FTP-Kommandos abzusetzen, wenn der Benutzer eine speziell präparierte FTP-URI aufruft. Der Fehler könnte ebenfalls eine Ausnutzung über andere zeilenorientierte Protokolle erleichtern.
6) Sicherheitslücken in ClamAV können durch böswillige Personen ausgenutzt werden, um einen DoS (Denial of Service) zu verursachen, oder potenziell ein verwundbares System zu kompromittieren.
Weitere Informationen:
SA22370
7) Ein Begrenzungsfehler in Finder kann ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu verursachen könnte die Ausführung von beliebigem Code ermöglichen, wenn ein Benutzer ein Verzeichnis öffnet, in dem sich eine speziell präparierte ".DS_Store"-Datei befindet.
8) Ein Fehler in ftpd kann ausgenutzt werden, um gültige Benutzernamen festzustellen und einen DoS (Denial of Service) durch fehlgeschlagene Anmeldeversuche mit gültigem Benutzernamen zu verursachen.
9) Einige Sicherheitslücken in gnuzip können durch böswillige Personen ausgenutzt werden, um einen DoS (Denial of Service) zu verursachen und potenziell ein verwundbares System zu kompromittieren.
Weitere Informationen:
SA21996
10) Einige Sicherheitslücken in OpenSSL können durch böswillige Personen ausgenutzt werden, um einen DoS (Denial of Service) zu verursachen, bestimmte Sicherheitsrestriktionen zu umgehen oder ein verwundbares System zu kompromittieren.
Weitere Informationen:
SA21709
SA22130
11) Eine Sicherheitslücke in Perl kann durch böswillige Personen ausgenutzt werden, um einen DoS (Denial of Service) zu verursachen und potenziell eine verwundbare Perl-Anwendung zu kompromittieren.
Weitere Informationen:
SA17802
12) Einige Sicherheitslücken in PHP können durch böswillige Personen ausgenutzt werden, um potenziell sensible Informationen zu enthüllen, einen DoS (Denial of Service) zu verursachen oder ein verwundbares System zu kompromittieren.
Weitere Informationen:
SA19383
SA19803
SA22653
13) Ein Begrenzungsfehler in PPP kann ausgenutzt werden, um einen Pufferüberlauf zu verursachen und damit einen DoS (Denial of Service) zu verursachen oder beliebigen Code mit System-Privilegien auszuführen.
14) Eine Sicherheitslücke in Samba kann durch böswillige Benutzer ausgenutzt werden, um einen DoS (Denial of Service) zu verursachen.
Weitere Informationen:
SA20980
15) Ein Sicherheitsproblem besteht im Security Framework. Es wird nicht immer die beste verfügbare Verschüsselungsmethode im "Secure Transport" ausgehandelt.
16) Ein Fehler im Security Framework bei der Verarbeitung von "X.509"-Zertifikaten kann ausgenutzt werden, um einen DoS (Denial of Service) zu verursachen.
Hinweis: Versionen vor Mac OS X v10.4 sind nicht betroffen.
17) Ein Sicherheitsproblem besteht im Security Framework. Der "Online Certificate Status Protocol" (OCSP) Service kann keine "Certificate Revocation" Listen erhalten, wenn ein Proxy verwendet wurde.
18) Ein Sicherheitsproblem besteht im Security Framework. Bestimmte widerrufene Zertifikate könnten irrtümlich verwendet werden.
19) Ein Fehler im VPN-Server kann durch böswillige lokale Benutzer ausgenutzt werden, Befehle mit System-Privilegien auszuführen.
20) Ein Fehler in WebKit kann ausgenutzt werden, um über ein speziell präpariertes HTML-Dokument beliebigen Code auszuführen.
21) Eine Schwachstelle besteht im Installer. System-Privilegien werden ohne ausdrückliche Autorisierung verwendet.
Lösung:
Installieren Sie das Security Update 2006-007.
Security Update 2006-007 (10.3.9 Client):
http://www.apple.com/support/downloads/securityupdate20060071039client.html
Security Update 2006-007 (10.3.9 Server):
http://www.apple.com/support/downloads/securityupdate20060071039server.html
Security Update 2006-007 (10.4.8 Client Intel):
http://www.apple.com/support/downloads/securityupdate20060071048clientintel.html
Security Update 2006-007 (10.4.8 Client PPC):
http://www.apple.com/support/downloads/securityupdate20060071048clientppc.html
Security Update 2006-007 (10.4.8 Server PPC):
http://www.apple.com/support/downloads/securityupdate20060071048serverppc.html
Security Update 2006-007 (10.4.8 Server Universal):
http://www.apple.com/support/download...update20060071048serveruniversal.html
Gemeldet und/oder entdeckt von:
1) Der Hersteller nennt H D Moore.
8) Der Hersteller nennt Benjamin Williams, University of Canterbury.
13) Der Hersteller nennt Mu Security.
15) Der Hersteller nennt Eric Cronin, gizmolabs.
16) Der Hersteller nennt Dr. Stephen N. Henson, Open Network Security.
17) Der Hersteller nennt Timothy J. Miller, MITRE Corporation.
18) Der Hersteller nennt Jose Nazario, Arbor Networks.
20) Der Hersteller nennt Tom Ferris, Security-Protocols.
Änderungen:
2006-11-30: Links zum US-CERT hinzugefügt.
2006-12-01: Links zum US-CERT hinzugefügt.
2006-12-05: Links zum US-CERT hinzugefügt.
Original Advisory:
http://docs.info.apple.com/article.html?artnum=304829
Andere Referenzen:
SA17802:
http://secunia.com/advisories/17802/
SA19803:
http://secunia.com/advisories/19803/
SA19383:
http://secunia.com/advisories/19383/
SA20980:
http://secunia.com/advisories/20980/
SA21709:
http://secunia.com/advisories/21709/
SA21996:
http://secunia.com/advisories/21996/
SA22130:
http://secunia.com/advisories/22130/
SA22370:
http://secunia.com/advisories/22370/
SA22653:
http://secunia.com/advisories/22653/
SA22679:
http://secunia.com/advisories/22679/
Mu Security:
http://labs.musecurity.com/advisories/MU-200611-01.txt
US-CERT VU#848960:
http://www.kb.cert.org/vuls/id/848960
US-CERT VU#870960:
http://www.kb.cert.org/vuls/id/870960
US-CERT VU#258744:
http://www.kb.cert.org/vuls/id/258744
US-CERT VU#835936:
http://www.kb.cert.org/vuls/id/835936
US-CERT VU#191336:
http://www.kb.cert.org/vuls/id/191336
US-CERT VU#800296:
http://www.kb.cert.org/vuls/id/800296
US-CERT VU#323424:
http://www.kb.cert.org/vuls/id/323424
US-CERT VU#681056:
http://www.kb.cert.org/vuls/id/681056
US-CERT VU#734032:
http://www.kb.cert.org/vuls/id/734032
US-CERT VU#371648:
http://www.kb.cert.org/vuls/id/371648
US-CERT VU#811384:
http://www.kb.cert.org/vuls/id/811384
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
127 Related Secunia Security Advisories, displaying 10
|
|
|
1. Apple Mac OS X Security Update behebt mehrere Sicherheitslücken
|
|
2. Mozilla Firefox 3 für Mac OS X Verarbeitung von GIF-Dateien Ausführung von Code
|
|
3. Apple Mac OS X Update behebt mehrere Sicherheitslücken
|
|
4. Apple Mac OS X ARDAgent Ausweitung von Rechten
|
|
5. Apple Mac OS X Security Update behebt mehrere Sicherheitslücken
|
|
6. Apple iCal Speicherkorruption Sicherheitslücke
|
|
7. Mac OS X Security Update behebt mehrere Sicherheitslücken
|
|
8. Apple Mac OS X "ipcomp6_input()" Denial of Service
|
|
9. Apple Mac OS X Security Update behebt mehrere Sicherheitslücken
|
|
10. Apple Mac OS X Security Update behebt mehrere Sicherheitslücken
|
Show all related advisories
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
