Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitsupdate 2014-002 für OS X erschienen

Apple hat neben iOS 7.1.1 auch ein Sicherheitsupdate für OS X mit der Kennzeichnung 2014-002 veröffentlicht, welches auch die zuvor erschienene Version von Safari (7.0.3) beinhaltet.

Das Sicherheitsupdate behebt ein Problem in der Safari-Adresszeile, dass dazu führen konnte, dass eine Suchanfrage vor dem Drücken der Return-Taste abgeschickt wurde. Außerdem hat Apple das automatische Ausfüllen von Kreditkarteninformationen aus dem Schlüsselbund verbessert und ein Fehler behoben, der das Anzeigen von Push-Nachrichten von Webseiten verhinderte. Die neue Version von Safari bringt eine Einstellung mit, über die sich Push-Anfragen von Webseiten dauerhaft deaktivieren lassen. Safari 7.0.3 unterstützt nun auch Domain-Namen mit neuen Top-Level-Domains und die Sandbox-Isolation von Webseiten wurde verbessert.

Das Sicherheitsupdate steht für OS X 10.7 Lion, 10.8 Mountain Lion und 10.9 Mavericks zum Download über den Mac App Store bzw. die Softwareaktualisierung bereit.

Weiterführende Links:

Kommentare

Marcel_75@work
Marcel_75@work22.04.14 22:10
Naja, das Security-Update 2014-002 behebt schon noch ein wenig mehr als das ...

Security Update 2014-002 is now available and addresses the
following:

CFNetwork HTTPProtocol
Available for: OS X Lion v10.7.5, OS X Lion Server v10.7.5,
OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.2
Impact: An attacker in a privileged network position can obtain web
site credentials
Description: Set-Cookie HTTP headers would be processed even if the
connection closed before the header line was complete. An attacker
could strip security settings from the cookie by forcing the
connection to close before the security settings were sent, and then
obtain the value of the unprotected cookie. This issue was addressed
by ignoring incomplete HTTP header lines.
CVE-ID
CVE-2014-1296 : Antoine Delignat-Lavaud of Prosecco at Inria Paris

CoreServicesUIAgent
Available for: OS X Mavericks v10.9.2
Impact: Visiting a maliciously crafted website or URL may result in
an unexpected application termination or arbitrary code execution
Description: A format string issue existed in the handling of URLs.
This issue was addressed through additional validation of URLs. This
issue does not affect systems prior to OS X Mavericks.
CVE-ID
CVE-2014-1315 : Lukasz Pilorz of runic.pl, Erik Kooistra

FontParser
Available for: OS X Mountain Lion v10.8.5
Impact: Opening a maliciously crafted PDF file may result in an
unexpected application termination or arbitrary code execution
Description: A buffer underflow existed in the handling of fonts in
PDF files. This issue was addressed through additional bounds
checking. This issue does not affect OS X Mavericks systems.
CVE-ID
CVE-2013-5170 : Will Dormann of CERT/CC

Heimdal Kerberos
Available for: OS X Mavericks v10.9.2
Impact: A remote attacker may be able to cause a denial of service
Description: A reachable abort existed in the handling of ASN.1
data. This issue was addressed through additional validation of ASN.1
data.
CVE-ID
CVE-2014-1316 : Joonas Kuorilehto of Codenomicon

ImageIO
Available for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.2
Impact: Viewing a maliciously crafted JPEG image may lead to an
unexpected application termination or arbitrary code execution
Description: A buffer overflow issue existed in ImageIO's handling
of JPEG images. This issue was addressed through improved bounds
checking. This issue does not affect systems prior to OS X Mavericks.
CVE-ID
CVE-2014-1319 : Cristian Draghici of Modulo Consulting, Karl Smith of
NCC Group

Intel Graphics Driver
Available for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.2
Impact: A malicious application can take control of the system
Description: A validation issue existed in the handling of a pointer
from userspace. This issue was addressed through additional
validation of pointers.
CVE-ID
CVE-2014-1318 : Ian Beer of Google Project Zero working with HP's
Zero Day Initiative

IOKit Kernel
Available for: OS X Mavericks v10.9.2
Impact: A local user can read kernel pointers, which can be used to
bypass kernel address space layout randomization
Description: A set of kernel pointers stored in an IOKit object
could be retrieved from userland. This issue was addressed through
removing the pointers from the object.
CVE-ID
CVE-2014-1320 : Ian Beer of Google Project Zero working with HP's
Zero Day Initiative

Kernel
Available for: OS X Mavericks v10.9.2
Impact: A local user can read a kernel pointer, which can be used to
bypass kernel address space layout randomization
Description: A kernel pointer stored in a XNU object could be
retrieved from userland. This issue was addressed through removing
the pointer from the object.
CVE-ID
CVE-2014-1322 : Ian Beer of Google Project Zero

Power Management
Available for: OS X Mavericks v10.9.2
Impact: The screen might not lock
Description: If a key was pressed or the trackpad touched just after
the lid was closed, the system might have tried to wake up while
going to sleep, which would have caused the screen to be unlocked.
This issue was addressed by ignoring keypresses while going to sleep.
This issue does not affect systems prior to OS X Mavericks.
CVE-ID
CVE-2014-1321 : Paul Kleeberg of Stratis Health Bloomington MN,
Julian Sincu at the Baden-Wuerttemberg Cooperative State University
(DHBW Stuttgart), Gerben Wierda of R&A, Daniel Luz

Ruby
Available for: OS X Mavericks v10.9.2
Impact: Running a Ruby script that handles untrusted YAML tags may
lead to an unexpected application termination or arbitrary code
execution
Description: An integer overflow issue existed in LibYAML's handling
of YAML tags. This issue was addressed through additional validation
of YAML tags. This issue does not affect systems prior to OS X
Mavericks.
CVE-ID
CVE-2013-6393

Ruby
Available for: OS X Lion v10.7.5, OS X Lion Server v10.7.5,
OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.2
Impact: Running a Ruby script that uses untrusted input to create a
Float object may lead to an unexpected application termination or
arbitrary code execution
Description: A heap-based buffer overflow issue existed in Ruby when
converting a string to a floating point value. This issue was
addressed through additional validation of floating point values.
CVE-ID
CVE-2013-4164

Security - Secure Transport
Available for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.2
Impact: An attacker with a privileged network position may capture
data or change the operations performed in sessions protected by SSL
Description: In a 'triple handshake' attack, it was possible for an
attacker to establish two connections which had the same encryption
keys and handshake, insert the attacker's data in one connection, and
renegotiate so that the connections may be forwarded to each other.
To prevent attacks based on this scenario, Secure Transport was
changed so that, by default, a renegotiation must present the same
server certificate as was presented in the original connection. This
issue does not affect Mac OS X 10.7 systems and earlier.
CVE-ID
CVE-2014-1295 : Antoine Delignat-Lavaud, Karthikeyan Bhargavan and
Alfredo Pironti of Prosecco at Inria Paris

WindowServer
Available for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.2
Impact: Maliciously crafted applications can execute arbitrary code
outside the sandbox
Description: WindowServer sessions could be created by sandboxed
applications. This issue was addressed by disallowing sandboxed
applications from creating WindowServer sessions.
CVE-ID
CVE-2014-1314 : KeenTeam working with HP's Zero Day Initiative

Note: Security Update 2014-002 for OS X Mavericks systems includes
the security content of Safari 7.0.3:
http://support.apple.com/kb/HT6181
0
tommy-lg22.04.14 22:56
Na das ist ja toll.
Finde es immer wieder super, wenn ich auf einer deutschen Seite englische Zitate sehen muß. Es wäre ja noch ok, wenn denn eine Übersetzung mitgeliefert würde, aber dazu reicht es dann nicht.

Komischer weise sehe ich auf englischsprachigen Seiten diese Unsitte nicht, da werden keine deutschen Zitate abgedruckt, da steht alles in der jeweiligen Landessprache!
Erneuerbare Energien - Seit wann kann Energie erneuert werden?
0
tommy-lg22.04.14 23:00
Mein letzter Beitrag bezieht sich auf den Eintrag von
Marcel_75

Hatte ich vergessen darauf hinzuweisen.
Erneuerbare Energien - Seit wann kann Energie erneuert werden?
0
Eventus
Eventus22.04.14 23:13
tommy-lg
Wenn das Original auf Englisch ist, ists präziser, auch das Zitat auf Englisch zu bringen, isn't it?
Live long and prosper! 🖖
0
mbh
mbh23.04.14 01:16
Eine Unsitte ist es mitunter auch, sich auf einer Technik-spezifischen Internetseite über die selektive Anwendung der Fach- bzw. quasi-Standard-Sprache zu beschweren. Eine kurze Reflexion dieses Umstands klärt dann womöglich auch etwaige Ungewissheiten bezüglich einer bestimmten anderen "Unsitte".
0
sierkb23.04.14 01:32
threatpost (22.04.2014): Apple Fixes Serious SSL Issue in OSX and iOS

tommy-lg:

-1

Eventus:

+1

mbh:

+1
0
sierkb23.04.14 01:39
OT, aber für sicherheitsinteressierte Experten mal einen Seitenblick wert:

Reverse Engineering Mac OS X | Reverse Engineering and Security for fun and pleasure! (18.04.2014): Revisiting Mac OS X Kernel Rootkits Phrack article is finally out!

Phrack Magazine, Author: fG! (18.04.2014): Revisiting Mac OS X Kernel Rootkits
0
DonQ
DonQ23.04.14 01:44
So richtig Reibungslos lief das Update nicht, aber die Kiste funzt noch…*Klatsch*
an apple a day, keeps the rats away…
0
Hannes Gnad
Hannes Gnad23.04.14 08:51
sierkb
Phrack Magazine, Author: fG! (18.04.2014): Revisiting Mac OS X Kernel Rootkits
Das ist so harter Stoff, das dürfte bis auf eine Handvoll kernel-Entwickler niemand wirklich verstehen. Kann man nur hoffen, daß die Jungs bei Apple, die sich beruflich mit genau diesen Themen befassen, das lesen und bei zukünftigen Releases und/oder Sicherheitsupdates berücksichtigen.
0
music-anderson
music-anderson23.04.14 14:35
10.8.3 braucht das nicht?
Wenn Du nicht weisst was man Dir will, was willst n Du 8-D
0
Mac-Trek
Mac-Trek23.04.14 19:01
DonQ
So richtig Reibungslos lief das Update nicht, aber die Kiste funzt noch…*Klatsch*
Kann ich bestätigen. Bei der Info "Neustart" ist mir die Maschine eingefroren. Der Zwangsweise ausgeführte manuelle Neustart dauerte dann ne halbe Ewigkeit. Aber inzwischen hat sich die Kiste nach dem Reparieren der Zugrifssrechte wieder gefangen.
Live long and *apple* . Mögliche Rechtschreibfehler und grammatikalische Entgleisungen sind Gratisgeschenke. Jegliches Nörgeln ist Energieverschwendung >:-]...
0
Eventus
Eventus23.04.14 20:34
Ich hatte keinerlei Probleme. Hatte ich übrigens bei keinem einzigen Update von Apple, ausser bei iOS 7.0, weil die Server überlastet waren in den ersten Stunden nach Erscheinen.
Live long and prosper! 🖖
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.