À propos des correctifs de sécurité d’OS X Lion 10.7.4 et de la mise à jour de sécurité 2012-002

Ce document détaille les correctifs de sécurité d’OS X Lion 10.7.4 et de la mise à jour de sécurité 2012-002.

Vous pouvez télécharger et installer OS X Lion 10.7.4, ainsi que la mise à jour de sécurité 2012-002, en utilisant les préférences de Mise à jour logicielle ou à partir de la page Téléchargements du site d’Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

OS X Lion 10.7.4 et mise à jour de sécurité 2012-002

  • Fenêtre d’ouverture de session

    Disponible pour : OS X Lion 10.7.3 et OS X Lion Server 10.7.3.

    Conséquence : les administrateurs distants et les personnes disposant d’un accès physique au système peuvent obtenir les données du compte.

    Description : il existait un problème au niveau de la gestion des connexions aux comptes réseau. Le processus de connexion enregistre des informations confidentielles dans le journal du système que d’autres utilisateurs du système peuvent lire. Les informations confidentielles peuvent être conservées dans les journaux enregistrés après l’installation de cette mise à jour. Ce problème concerne uniquement les systèmes exécutant OS X Lion 10.7.3 avec des utilisateurs de l’ancienne version de File Vault et/ou des répertoires de départ en réseau.

    Référence CVE

    CVE-2012-0652 : Terry Reeves et Tim Winningham de l’université Ohio State University, Markus « Jaroneko » Räty de l’Académie des beaux-arts de Finlande, Jaakko Pero de l’université Aalto University, Mark Cohen de l’université Oregon State University, Paul Nelson.

  • Bluetooth

    Disponible pour : OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de situation de compétition de fichier temporaire existait au niveau de la routine d’initialisation de blued.

    Référence CVE

    CVE-2012-0649 : Aaron Sigel de vtty.com.

  • cURL

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : un attaquant peut être en mesure de déchiffrer des données protégées par le protocole SSL.

    Description : la confidentialité des protocoles SSL 3.0 et TLS 1.0 est sujette à des attaques lorsqu’une suite de chiffrement utilise un chiffrement de bloc en mode d’enchaînement des blocs. curl a désactivé la contre-mesure « fragment vide » qui permettait d’empêcher ces attaques d’aboutir. Ce problème est résolu par l’activation des fragments vides.

    Référence CVE

    CVE-2011-3389 : Apple.

  • cURL

    Disponible pour : OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : l’utilisation de curl ou de libcurl avec une URL malveillante peut entraîner des attaques par injection de données propres au protocole.

    Description : il existait un problème d’injection de données au niveau de la gestion des URL par curl. Ce problème est résolu par une meilleure validation des URL. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2012-0036

  • Service de répertoire

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : un attaquant distant peut obtenir des informations confidentielles.

    Description : il existait plusieurs problèmes au niveau de la gestion des messages du réseau par le serveur de répertoire. En envoyant un message malveillant, un attaquant distant peut manipuler le serveur de répertoire afin qu’il rende publique de la mémoire dans son espace d’adressage et révèle potentiellement des informations d’identification de compte ou d’autres informations confidentielles. Ce problème n’affecte pas les systèmes OS X Lion. Le serveur de répertoire est désactivé par défaut dans les installations non-serveur d’OS X.

    Référence CVE

    CVE-2012-0651 : Agustin Azubel.

  • HFS

    Disponible pour : OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : le montage d’une image disque malveillante peut entraîner l’arrêt d’un système ou l’exécution arbitraire de code.

    Description : un dépassement d’entier existait lors du traitement des fichiers du catalogue HFS.

    Référence CVE

    CVE-2012-0642 : pod2g.

  • ImageIO

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : l’affichage d’un fichier TIFF malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : il existait un problème de dépassement de la mémoire tampon au niveau de la gestion des fichiers TIFF encodés en CCITT Group 4 par ImageIO. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0241 : Cyril CATTIAUX de Tessi Technologies.

  • ImageIO

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : vulnérabilités multiples dans libpng.

    Description : la mise à jour 1.5.5 de libpng résout plusieurs vulnérabilités, la plus grave pouvant entraîner la divulgation d’informations. Des informations supplémentaires sont disponibles sur le site Web de libpng, à l’adresse http://www.libpng.org/pub/png/libpng.html.

    Référence CVE

    CVE-2011-2692

    CVE-2011-3328

  • ImageIO

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : l’affichage d’un fichier TIFF malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion par libtiff des fichiers TIFF encodés en ThunderScan. Ce problème est résolu par la mise à jour de libtiff vers la version 3.9.5.

    Référence CVE

    CVE-2011-1167

  • Noyau

    Disponible pour : OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : lorsque FileVault est utilisé, le disque peut contenir des données d’utilisateur non chiffrées.

    Description : un problème dans la gestion par le noyau de l’image de veille utilisée pour la veille prolongée génère des données non chiffrées sur le disque, même lorsque FileVault est activé. Ce problème est résolu par une gestion améliorée de l’image de veille et par une suppression de l’image de veille existante lors de la mise à jour vers OS X 10.7.4. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3212 : Felix Groebert de l’équipe de sécurité de Google.

  • libarchive

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : l’extraction d’une archive malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : plusieurs problèmes de dépassement de la mémoire tampon existaient au niveau de la gestion d’archives au format tar et de fichiers iso9660.

    Référence CVE

    CVE-2011-1777

    CVE-2011-1778

  • libsecurity

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : la vérification d’un certificat X.509 malveillant, notamment lors de la consultation d’un site Web malveillant, peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème d’accès à la mémoire non initialisé existait au niveau de la gestion des certificats X.509.

    Référence CVE

    CVE-2012-0654 : Dirk-Willem van Gulik de WebWeaving.org, Guilherme Prado de Conselho da Justiça Federal, Ryan Sleevi de Google.

  • libsecurity

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : la compatibilité des certificats X.509 avec les clés RSA de longueur non sécurisée peut exposer les utilisateurs à l’usurpation d’identité et à la divulgation d’informations.

    Description : les certificats signés à l’aide de clés RSA de longueur non sécurisée ont été acceptés par libsecurity. Ce problème est résolu par le rejet des certificats contenant des clés RSA de moins de 1 024 bits.

    Référence CVE

    CVE-2012-0655

  • libxml

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : l’affichage d’une page Web malveillante peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : libxml présentait plusieurs vulnérabilités, la plus grave pouvant entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ces problèmes sont résolus par l’application des correctifs appropriés.

    Référence CVE

    CVE-2011-1944 : Chris Evans de l’équipe de sécurité de Google Chrome.

    CVE-2011-2821 : Yang Dingning de NCNIPC, Graduate University of Chinese Academy of Sciences.

    CVE-2011-2834 : Yang Dingning de NCNIPC, Graduate University of Chinese Academy of Sciences.

    CVE-2011-3919 : Jüri Aedla.

  • LoginUIFramework

    Disponible pour : OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : si l’option Utilisateur invité est activée, un utilisateur disposant d’un accès physique à l’ordinateur peut parvenir à se connecter à un compte d’utilisateur autre que celui d’invité, sans saisir de mot de passe.

    Description : un problème de compétition existait au niveau de la gestion des connexions des utilisateurs invités. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2012-0656 : Francisco Gómez (espectalll123).

  • PHP

    Disponible pour : OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : PHP présente plusieurs vulnérabilités.

    Description : la mise jour 5.3.10 de PHP résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner l’exécution arbitraire de code. Pour obtenir des informations supplémentaires, consultez le site Web de PHP, à l’adresse http://www.php.net.

    Référence CVE

    CVE-2011-4566

    CVE-2011-4885

    CVE-2012-0830

  • Quartz Composer

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : un utilisateur pouvant accéder physiquement à l’ordinateur peut parvenir à démarrer Safari si l’écran est verrouillé et que l’économiseur d’écran RSS Visualizer est utilisé.

    Description : un problème de contrôle d’accès existait au niveau de la gestion par Quartz Compose des économiseurs d’écran. Ce problème est résolu par une vérification améliorée du verrouillage de l’écran.

    Référence CVE

    CVE-2012-0657 : Aaron Sigel de vtty.com.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : la lecture d’un fichier vidéo malveillant lors d’un téléchargement progressif peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion de tables d’échantillons audio.

    Référence CVE

    CVE-2012-0658 : Luigi Auriemma en collaboration avec le programme Zero Day Initiative de HP.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : la lecture d’un fichier MPEG malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de dépassement d’entier existait au niveau de la gestion des fichiers MPEG.

    Référence CVE

    CVE-2012-0659 : chercheur anonyme en collaboration avec le programme Zero Day Initiative de HP.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : la lecture d’un fichier MPEG malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des fichiers MPEG.

    Référence CVE

    CVE-2012-0660 : Justin Kim de Microsoft et Microsoft Vulnerability Research.

  • QuickTime

    Disponible pour : OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème d’utilisation ultérieure libre existait au niveau de la gestion des fichiers vidéo codés au format JPEG2000. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2012-0661 : Damian Put en collaboration avec le programme Zero Day Initiative de HP.

  • Ruby

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquences : vulnérabilités multiples dans Ruby.

    Description : la mise à jour 1.8.7-p357 de Ruby résout plusieurs vulnérabilités.

    Référence CVE

    CVE-2011-1004

    CVE-2011-1005

    CVE-2011-4815

  • Samba

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : si le partage de fichiers SMB est activé, un attaquant distant non authentifié peut provoquer un déni de service ou l’exécution arbitraire de code à l’aide de privilèges système.

    Description : plusieurs dépassements de la mémoire tampon existaient au niveau de la gestion par Samba d’appels de procédure distants. En envoyant un paquet malveillant, un attaquant distant non authentifié peut provoquer un refus de service ou l'exécution arbitraire de code, à l’aide de privilèges système. Ces problèmes n’affectent pas les systèmes OS X Lion.

    Référence CVE

    CVE-2012-0870 : Andy Davis de NGS Secure.

    CVE-2012-1182 : chercheur anonyme en collaboration avec le programme Zero Day Initiative de HP.

  • Structure de sécurité

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : la structure de sécurité présente un dépassement d’entier. Le traitement de saisie non fiable avec la structure de sécurité peut entraîner une corruption de la mémoire. Ce problème n’affecte pas les processus 32 bits.

    Référence CVE

    CVE-2012-0662 : aazubel en collaboration avec le programme Zero Day Initiative de HP.

  • Time Machine

    Disponible pour : OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : un attaquant distant peut accéder aux informations d’identification de la sauvegarde Time Machine d’un utilisateur.

    Description : l’utilisateur peut désigner une Time Capsule ou un volume AFP distant associé à une borne d’accès AirPort et à utiliser pour les sauvegardes Time Machine. À partir de la mise à jour 7.6 du programme interne de la borne d’accès AirPort et de la Time Capsule, les Time Capsule et les bornes d’accès prennent en charge un mécanisme d’authentification fiable basé sur SRP via le protocole AFP. Cependant, Time Machine n’exige pas que le mécanisme d’authentification basé sur SRP soit utilisé pour les sauvegardes ultérieures, même si Time Machine a initialement été configuré ou a contacté une borne d’accès ou une Time Capsule le prenant en charge. Un attaquant capable d’usurper le volume distant peut accéder aux informations d’identification de la Time Capsule de l’utilisateur, bien qu’il ne puisse pas sauvegarder les données envoyées par le système de l’utilisateur. Ce problème est résolu par l’utilisation du mécanisme d’authentification basé sur SRP, si la destination de la sauvegarde l’a déjà pris en charge.

    Référence CVE

    CVE-2012-0675 : Renaud Deraison de Tenable Network Security, Inc.

  • X11

    Disponible pour : OS X Lion 10.7 à 10.7.3 et OS X Lion Server 10.7 à 10.7.3.

    Conséquence : les applications utilisant libXfont pour gérer les données compressées LZW peuvent être sujettes à une fermeture inopinée ou à l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion par libXfont des données compressées LZW. Ce problème est résolu par la mise à jour de libXfont vers la version 1.4.4.

    Référence CVE

    CVE-2011-2895 : Tomas Hoger de Red Hat.

Remarque : cette mise à jour filtre également les variables d’environnement de l’éditeur de liens dynamiques d’après une liste des propriétés d’environnement personnalisée, disponible dans le répertoire de départ de l’utilisateur, le cas échéant.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: