Snow Leopard: Sicherheitsupdate 2012-004 erschienen!

[akumetsu]

Gestern ist auch das Sicherheitsupdate 2012-004 für 10.6.8 erschienen!

Supportdokument dazu: http://support.apple.com/kb/HT5501

Es sieht also so aus als würde Apple nun wirklich die letzten drei Systeme mit Updates versorgen. Ich hatte mich eigentlich schon damit abgefunden ein nicht weiter unterstütztes System zu benutzen aber anscheinend kann man hoffen, dass SL bis zum Erscheinen vom ML-Nachfolger 10.9 versorgt wird.


Und hier noch die bereinigte Liste der Änderungen für SL:

Data Security

Impact: An attacker with a privileged network position may intercept user credentials or other sensitive information

Description: TrustWave, a trusted root CA, has issued, and subsequently revoked, a sub-CA certificate from one of its trusted anchors. This sub-CA facilitated the interception of communications secured by Transport Layer Security (TLS). This update adds the involved sub-CA certificate to OS X's list of untrusted certificates.

DirectoryService

Impact: If the DirectoryService Proxy is used, a remote attacker may cause a denial of service or arbitrary code execution

Description: A buffer overflow existed in the DirectoryService Proxy. This issue was addressed through improved bounds checking. This issue does not affect OS X Lion and Mountain Lion systems.

ImageIO

Impact: Viewing a maliciously crafted PNG image may lead to an unexpected application termination or arbitrary code execution

Description: Multiple memory corruption issues existed in libpng's handling of PNG images. These issues were addressed through improved validation of PNG images. These issues do not affect OS X Mountain Lion systems.

ImageIO

Impact: Viewing a maliciously crafted TIFF image may lead to an unexpected application termination or arbitrary code execution

Description: An integer overflow issue existed in libTIFF's handling of TIFF images. This issue was addressed through improved validation of TIFF images. This issue does not affect OS X Mountain Lion systems.

International Components for Unicode

Impact: Applications that use ICU may be vulnerable to an unexpected application termination or arbitrary code execution

Description: A stack buffer overflow existed in the handling of ICU locale IDs. This issue was addressed through improved bounds checking. This issue does not affect OS X Mountain Lion systems.

Mail

Impact: Viewing an e-mail message may lead to execution of web plugins

Description: An input validation error existed in Mail's handling of embedded web plugins. This issue was addressed by disabling third-party plug-ins in Mail. This issue does not affect OS X Mountain Lion systems.

PHP

Impact: Multiple vulnerabilities in PHP

Description: >PHP is updated to version 5.3.15 to address multiple vulnerabilities, the most serious of which may lead to arbitrary code execution. Further information is available via the PHP web site at http://www.php.net

PHP

Impact: PHP scripts which use libpng may be vulnerable to an unexpected application termination or arbitrary code execution

Description: A memory corruption issue existed in the handling of PNG files. This issue was addressed by updating PHP's copy of libpng to version 1.5.10. This issue does not affect OS X Mountain Lion systems.

QuickLook

Impact: Viewing a maliciously crafted .pict file may lead to an unexpected application termination or arbitrary code execution

Description: A memory corruption issue existed in the handling of .pict files. This issue was addressed through improved validation of .pict files. This issue does not affect OS X Mountain Lion systems.

QuickTime

Impact: Viewing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution

Description: An integer overflow existed in QuickTime's handling of sean atoms. This issue was addressed through improved bounds checking. This issue does not affect OS X Mountain Lion systems.

QuickTime

Impact: Viewing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution

Description: An uninitialized memory access existed in the handling of Sorenson encoded movie files. This issue was addressed through improved memory initialization. This issue does not affect OS X Mountain Lion systems.

QuickTime

Impact: Viewing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution

Description: A buffer overflow existed in the handling of RLE encoded movie files. This issue was addressed through improved bounds checking. This issue does not affect OS X Mountain Lion systems.

Ruby

Impact: An attacker may be able to decrypt data protected by SSL

Description: There are known attacks on the confidentiality of SSL 3.0 and TLS 1.0 when a cipher suite uses a block cipher in CBC mode. The Ruby OpenSSL module disabled the 'empty fragment' countermeasure which prevented these attacks. This issue was addressed by enabling empty fragments. This issue does not affect OS X Mountain Lion systems.

 

[cifera]

Gestern ist auch das Sicherheitsupdate 2012-004 für 10.6.8 erschienen!

…

Es sieht also so aus als würde Apple nun wirklich die letzten drei Systeme mit Updates versorgen. Ich hatte mich eigentlich schon damit abgefunden ein nicht weiter unterstütztes System zu benutzen aber anscheinend kann man hoffen, dass SL bis zum Erscheinen vom ML-Nachfolger 10.9 versorgt wird. …

Zu wünschen wäre es ja, und meinetwegen könnten sie sich da auch Microsoft als Vorbild nehmen.

Aber zumindest von dem 10.7.5-Update wurde ja schon lange vor dem Erscheinen von 10.8 gemunkelt, wer weiß, ob es so spät geplant war oder sich nur verzögert hatte - und damit auch das Sicherheitsupdate für 10.6. Wäre ja schön, wenn Apple da mal ein paar Infos rausrücken würde, ob man in Zukunft noch mit Unterstützung rechnen kann.

 

[akumetsu]

Das Sicherheitsupdate 2013-001 für 10.6.8 ist online!

Supportdokument: http://support.apple.com/kb/HT5672

Die Änderungen für SL:

Apache

Impact: An attacker may be able to access directories that are protected with HTTP authentication without knowing the correct credentials

Description: A canonicalization issue existed in the handling of URIs with ignorable Unicode character sequences. This issue was addressed by updating mod_hfs_apple to forbid access to URIs with ignorable Unicode character sequences.

International Components for Unicode

Impact: Visiting a maliciously crafted website may lead to a cross-site scripting attack

Description: A canonicalization issue existed in the handling of the EUC-JP encoding, which could lead to a cross-site scripting attack on EUC-JP encoded websites. This issue was addressed by updating the EUC-JP mapping table.

ImageIO

Impact: Viewing a maliciously crafted TIFF file may lead to an unexpected application termination or arbitrary code execution

Description: A buffer overflow existed in libtiff's handling of TIFF images. This issue was addressed through additional validation of TIFF images.

Messages Server

Impact: A remote attacker may reroute federated Jabber messages

Description: An issue existed in the Jabber server's handling of dialback result messages. An attacker may cause the Jabber server to disclose information intended for users of federated servers. This issue was addressed through improved handling of dialback result messages.

PDFKit

Impact: Viewing a maliciously crafted PDF file may lead to an unexpected application termination or arbitrary code execution

Description: A use after free issue existed in the handling of ink annotations in PDF files. This issue was addressed through improved memory management.

Podcast Producer Server

Impact: A remote attacker may be able to cause arbitrary code execution

Description: A type casting issue existed in Ruby on Rails' handling of XML parameters. This issue was addressed by disabling XML parameters in the Rails implementation used by Podcast Producer Server.

PostgreSQL

Impact: Multiple vulnerabilities in PostgreSQL

Description: PostgreSQL was updated to version 9.1.5 to address multiple vulnerabilities, the most serious of which may allow database users to read files from the file system with the privileges of the database server role account. Further information is available via the PostgreSQL web site at http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

QuickTime

Impact: Viewing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution

Description: A buffer overflow existed in the handling of 'rnet' boxes in MP4 files. This issue was addressed through improved bounds checking.

Ruby

Impact: A remote attacker may be able to cause arbitrary code execution if a Rails application is running

Description: A type casting issue existed in Ruby on Rails' handling of XML parameters. This issue was addressed by disabling YAML and symbols in XML parameters in Rails.

Security

Impact: An attacker with a privileged network position may intercept user credentials or other sensitive information

Description: Several intermediate CA certificates were mistakenly issued by TURKTRUST. This may allow a man-in-the-middle attacker to redirect connections and intercept user credentials or other sensitive information. This issue was addressed by not allowing the incorrect SSL certificates.

Software Update

Impact: An attacker with a privileged network position may be able to cause arbitrary code execution

Description: Software Update allowed a man in the middle attacker to insert plugin content into the marketing text displayed for updates. This may allow the exploitation of a vulnerable plugin, or facilitate social engineering attacks involving plugins. This issue does not affect OS X Mountain Lion systems. This issue was addressed by preventing plugins from being loaded in Software Update's marketing text WebView.

Malware removal

Description: This update runs a malware removal tool that will remove the most common variants of malware. If malware is found, it presents a dialog notifying the user that malware was removed. There is no indication to the user if malware is not found.

 

[akumetsu]

Das Sicherheitsupdate 2013-003 für 10.6.8 ist erschienen!

Supportdokument: http://support.apple.com/kb/HT5806

News:
http://www.golem.de/news/quicktime-...zten-drei-mac-os-x-versionen-1307-100170.html
http://www.heise.de/mac-and-i/meldu...w-Leopard-Lion-und-Mountain-Lion-1910258.html


Änderungen:

QuickTime

Impact: Playing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution

Description: A buffer overflow existed in the handling of Sorenson encoded movie files. This issue was addressed through improved bounds checking.

QuickTime

Impact: Playing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution

Description: A buffer overflow existed in the handling of H.264 encoded movie files. This issue was addressed through improved bounds checking.

QuickTime

Impact: Viewing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code

Description: A buffer underflow existed in the handling of 'mvhd' atoms. This issue was addressed through improved bounds checking.

 

[akumetsu]

Das Sicherheitsupdate 2013-004 für 10.6.8 ist erschienen!

Supportdokument: http://support.apple.com/kb/HT5880

Änderungen:

Apache

Impact: Multiple vulnerabilities in Apache

Description: Multiple vulnerabilities existed in Apache, the most serious of which may lead to cross-site scripting. These issues were addressed by updating Apache to version 2.2.24.

Certificate Trust Policy

Impact: Root certificates have been updated

Description: Several certificates were added to or removed from the list of system roots. The complete list of recognized system roots may be viewed via the Keychain Access application.

ClamAV

Impact: Multiple vulnerabilities in ClamAV

Description: Multiple vulnerabilities exist in ClamAV, the most serious of which may lead to arbitrary code execution. This update addresses the issues by updating ClamAV to version 0.97.8.

IPSec

Impact: An attacker may intercept data protected with IPSec Hybrid Auth

Description: The DNS name of an IPSec Hybrid Auth server was not being matched against the certificate, allowing an attacker with a certificate for any server to impersonate any other. This issue was addressed by properly checking the certificate.

OpenSSL

Impact: Multiple vulnerabilities in OpenSSL

Description: Multiple vulnerabilities existed in OpenSSL, the most serious of which may lead to disclosure of user data. These issues were addressed by updating OpenSSL to version 0.9.8y.

PHP

Impact: Multiple vulnerabilities in PHP

Description: Multiple vulnerabilities existed in PHP, the most serious of which may lead to arbitrary code execution. These issues were addressed by updating PHP to version 5.3.26.

QuickTime

Impact: Viewing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution

Description: A memory corruption issue existed in the handling of 'idsc' atoms in QuickTime movie files. This issue was addressed through additional bounds checking.

Safari 5.1.10 Supportdokument: http://support.apple.com/kb/HT5921

 

[b25]

Ich bin echt froh dass Apple 10.6 noch unterstützt!
Wegen Rosetta ist vorerst nicht an einen Umstieg auf 10.8 zu denken hier auf dem Arbeitsrechner!

 

[MacEnroe]

A C H T U N G !!

Freehand-User erstmal Finger weg von dem Update!!


Seit dem Update stürzt mir Freehand ständig ab, heute ist schon ein Termin geplatzt
deswegen.. ich kann kaum noch eine Datei speichern. Liegt wohl an einem Bug mit Rosetta.

Jetzt ist die Kacke am Dampfen. Könnte ich über TimeMachine wieder zurück ins alte System???
Einfach den System-Ordner wiederherstellen?


Wieso pfusche ich auch an einem superstabilen System herum ...??

 

[MacEnroe]

Freehand ist wirklich sehr instabil geworden.


Kann mir jemand helfen, das System wiederherzustellen?

Ich habe folgendes gefunden:

Geht dabei etwas katastrophal schief, startet man den Mac von DVD (beim Neustart die Taste "C" drücken und halten, bis der Rechner hörbar auf die DVD zugreift) und arbeitet sich ins Installationsprogramm von Mac-OS X 10.5 vor: Erst wählt man die Sprache, in der das Installationsprogramm arbeiten soll und direkt danach wird die Menüleiste sichtbar, in der unter "Dienstprogramme > System von der Datensicherung wiederherstellen" der rettende Befehl steht.
Vier Schritte später (siehe Bilder auf diesen beiden Seiten) beginnt die Wiederherstellung des zuvor gesicherten Backups. Da zuvor die Startfestplatte komplett gelöscht wird, hat man danach wieder den Stand vor der Änderung.

Kann ich das System (nur das System!) wiederherstellen, ohne dass sonst irgendwas
gelöscht wird, vor allem keine neu erstellten Dateien...?

 

[blue apple]

hi macenroe...
hast du eine neu-installation vom system mit der dvd noch nie gemacht?
du müsstest doch wissen, dass es eine option archivieren&installieren gibt.
d.h. du legst deine system-dvd von 10.6 ein, bootest mit c gedruckt, wählst archivieren&installieren (nicht formatieren!) und dann wird nur das system 10.6. drüber-installiert. alle daten bleiben so wie sie sind erhalten!
dann lässt du die softwareaktualisierung laufen, wählst das letzte sicherheitsupdate weg und installierst den rest.

 

[MacEnroe]

hi macenroe...
hast du eine neu-installation vom system mit der dvd noch nie gemacht?
du müsstest doch wissen, dass es eine option archivieren&installieren gibt.
d.h. du legst deine system-dvd von 10.6 ein, bootest mit c gedruckt, wählst archivieren&installieren (nicht formatieren!) und dann wird nur das system 10.6. drüber-installiert. alle daten bleiben so wie sie sind erhalten!
dann lässt du die softwareaktualisierung laufen, wählst das letzte sicherheitsupdate weg und installierst den rest.

Danke!

Nein, Seit OSX habe ich noch nie ein System neu installieren müssen.


So dachte ich mir das eig. auch. OK, Dann ist das, was die MacUp da geschrieben hat, Blödsinn.


Noch eine Frage:
Das ist doch sicher ein Risiko, das so zu machen, oder? Kann es sein, dass z.B. Adobe Software
danach Sperenzchen macht und sich z.B. nicht so leicht aktivieren lässt? Oder sonst irgendwelche
Programme, Rosetta, Freehand usw. neu installiert werden müssen?

Ich wäge nur ab..

Ich weiß auch nicht, wie nötig/sinnvoll das Sicherheitsupdate ist ...

 

[blue apple]

hehe, ich hatte eigentlich bisher auch nur 2x den fall einer neuinstallation - ist aber wirklich ganz easy!
nein, wie gesagt: alles bleibt unangetastet, es wird lediglich das system bzw. systemkomponenten über das jetzige drüberinstalliert.
ein backup aber hast du ja zur sicherheit nicht?
in deinem fall dann wirklich lieber die software-aktualisierung laufen lassen und das sicherheits-update abhaken, das combo-update kannst du leider nicht installieren denn darin wäre wieder dieses update drin.
naja ein sicherheitsupdate wird schon seine berechtigung haben. warum es bei dir dann mit freehand probleme macht, weiß ich nicht.

 

[MacEnroe]

Ich warte mal noch ein paar Tage ab, wie sich das mit Freehand entwickelt. Wenn es
weiter Probleme macht, dann muss ich wirklich mal den Gegentest machen und das
System neu aufspielen.

Ein Backup zur Sicherheit .. nein, vom System hab ich nur das TM Backup.

 

[Retnueg]

das combo-update kannst du leider nicht installieren denn darin wäre wieder dieses update drin.
.

kann gut sein, kann aber auch nicht sein, wenn ich daran denke, dass die immer noch die "fehlerhafte" Safari Version da drin haben, kann ich mir kaum vorstellen, dass das Sicherheitsupdate schon aktualisiert wurde, das läuft vermutlich dann eher bei den Usern
über die Sotftwaere- Aktualisierung, warum soll Apple sich da soviel Arbeit mit machen, es ist ja für die ein altes System,

also muss der User den Rest selber erledigen

@ MacEnroe. ich habe noch ein comboupdate 10.6.8 von 2012 bzw. mehrere Versionen auf ext.gesichert, ( je 1 GB) wenn du einen server hast, könnte ich es dir da hochladen bei Bedarf

 

[blue apple]

Ein Backup zur Sicherheit .. nein, vom System hab ich nur das TM Backup.

wie meinst du das?
time machine sichert ja alle daten, inklusive system... im backup sind ja all deine daten, programme, files usw. drin. und vom system hast du ja eh die install-dvd, die aktuelle versionen bekommt man als download...
wo ist also das problem?

 

[Isegrim242]

… ich habe noch ein comboupdate 10.6.8 von 2012 bzw. mehrere Versionen auf ext.gesichert, ( je 1 GB) wenn du einen server hast, könnte ich es dir da hochladen bei Bedarf

Gibt’s doch auch direkt bei Apple noch: »klick«

 

[Retnueg]

wie meinst du das?
time machine sichert ja alle daten, inklusive system... im backup sind ja all deine daten, programme, files usw. drin. und vom system hast du ja eh die install-dvd, die aktuelle versionen bekommt man als download...
wo ist also das problem?

bei 10.6.8 SL glaube ich das nicht, ( ich weiss es aber auch nicht mit Sicherheit ) ebenso dein download, das ist ja deine selbst geschriebene befürchtung mit dem Sicherheitsupdate, welche dann im Combo enthalten sein könnte

ein altes comboupdate wäre die beste Lösung

 

[Retnueg]

Gibt’s doch auch direkt bei Apple noch: »klick«

aber nicht von 2011/2012 usw.

da steht nur Erscheinungstag !
sagt NICHTS über aktualisierungstag aus, die ist seit dem definitiv aktualisiert worden, Safari etc...

 

[Isegrim242]

aber nicht von 2011/2012 usw.

da steht nur Erscheinungstag !
sagt NICHTS über aktualisierungstag aus, die ist seit dem definitiv aktualisiert worden, Safari etc...

…versteh ich jetzt nicht…wenn ich dort auf „laden“ klicke, beginnt der Download des DMGs.
Was unterscheidet diese Version denn von Deiner?

 

[Retnueg]

…versteh ich jetzt nicht…wenn ich dort auf „laden“ klicke, beginnt der Download des DMGs.
Was unterscheidet diese Version denn von Deiner?

10.6.8 ( 10.6.8 v.1.1 ) ist seit Erscheinungstag regelmäßig aktualisiert worden,

das ist ja immerhin seit 2011, also mit allen möglichen Updates für Mail, Safari usw.

diese können ja wohl schlecht auf meinen gespeicherten Versionen von 2011/12/13 aktualisiert worden sein

 

[Isegrim242]

Aso…das DMG wird da ständig aktualisiert? Das wusste ich nicht.
Ich immer ging davon aus, dass es von 10.6.8 nur 2 Versionen gab (1.0/1.1).
Danke für die Aufklärung.