À propos des correctifs de sécurité de la mise à jour de sécurité 2008-003/Mac OS X 10.5.3

Ce document décrit les correctifs de sécurité de la mise à jour de sécurité 2008-003/Mac OS X 10.5.3, qui peut être téléchargée et installée via les préférences Mise à jour de logiciels ou depuis la page Téléchargements d’Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Mise à jour de sécurité 2008-003/Mac OS X 10.5.3

AFP Server

Référence CVE : CVE-2008-1027

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : les fichiers qui ne sont pas désignés pour le partage peuvent être accessibles à distance.

Description : AFP Server n’a pas vérifié qu’un fichier ou un répertoire à traiter se trouvait dans un dossier désigné pour le partage. Un utilisateur ou un invité connecté peut accéder à tous les fichiers ou dossiers pour lesquels il dispose d’une autorisation, même s’ils ne sont pas contenus dans des dossiers destinés au partage. Le problème est résolu en refusant l’accès aux fichiers et dossiers qui ne se trouvent pas dans un dossier désigné pour le partage. Nous remercions Alex deVries et Robert Rich d’avoir signalé ce problème.

Apache

Références CVE : CVE-2005-3352, CVE-2005-3357, CVE-2006-3747, CVE-2007-1863, CVE-2007-3847, CVE-2007-4465, CVE-2007-5000, CVE-2007-6388

Disponible pour : Mac OS X Server 10.4.11

Conséquence : Apache 2.0.55 présente plusieurs vulnérabilités.

Description : la mise à jour 2.0.63 d’Apache permet de remédier à plusieurs vulnérabilités, dont la plus grave peut entraîner une injection de code indirect. Des informations supplémentaires sont disponibles sur le site web d’Apache, à l’adresse http://httpd.apache.org. Apache 2.0.x est fourni uniquement avec les systèmes Mac OS X Server 10.4.x. Mac OS X 10.5.x et Mac OS X Server 10.5.x sont fournis avec Apache 2.2.x. Les problèmes qui ont affecté Apache 2.2.x ont été résolus avec la mise à jour de sécurité 2008-002 pour Mac OS X 10.5.2 et Mac OS X Server 10.5.2.

AppKit

Référence CVE : CVE-2008-1028

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11

Conséquence : l’ouverture d’un fichier malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution de code arbitraire.

Description : AppKit présente un problème d’implémentation dans le traitement des fichiers de document. L’ouverture d’un fichier malveillant dans un éditeur utilisant AppKit, tel que TextEdit, peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Le problème est résolu en améliorant la validation des fichiers de document. Ce problème ne concerne pas les systèmes sous Mac OS X 10.5 ou version ultérieure. Nous remercions Rosyna d’Unsanity d’avoir signalé ce problème.

Apple Pixlet Video

Référence CVE : CVE-2008-1577

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

Description : la gestion des fichiers utilisant le codec Pixlet présente plusieurs problèmes de corruption de la mémoire. L’ouverture d’un fichier vidéo malveillant pouvait entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Ce problème est résolu par une meilleure vérification des limites.

ATS

Référence CVE : CVE-2008-1575

Disponible pour : Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : l’impression d’un document PDF contenant une police malveillante pouvait entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire existe dans la gestion des polices intégrées dans les fichiers PDF par le serveur Apple Type Services. L’impression d’un document PDF contenant une police malveillante peut conduire à une exécution arbitraire de code. Ce problème est résolu en effectuant une validation supplémentaire des polices intégrées. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5. Nous remercions Melissa O’Neill de Harvey Mudd College d’avoir signalé ce problème.

CFNetwork

Référence CVE : CVE-2008-1580

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : la consultation d’un site web malveillant peut provoquer la divulgation d’informations confidentielles.

Description : il existe un problème de divulgation d’informations dans la gestion des certificats client SSL de Safari. Lorsqu’un serveur web émet une demande de certificat client, le premier certificat client trouvé dans le trousseau est automatiquement envoyé, ce qui peut entraîner la divulgation des informations contenues dans le certificat. Ce problème est résolu en invitant l’utilisateur avant d’envoyer le certificat.

CoreFoundation

Référence CVE : CVE-2008-1030

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : l’utilisation de l’API CFData par les applications peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : un dépassement d’entier dans la gestion des objets CFData par CoreFoundation peut entraîner un dépassement de la mémoire tampon. Une application appelant CFDataReplaceBytes avec un argument de longueur non valide peut se terminer inopinément ou entraîner l’exécution arbitraire de code. Le problème est résolu en effectuant une validation supplémentaire des paramètres de longueur.

CoreGraphics

Référence CVE : CVE-2008-1031

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution de code arbitraire.

Description : il existe un problème de variable non initialisée dans la gestion des fichiers PDF par CoreGraphics. L’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Le problème est résolu par une initialisation appropriée des pointeurs.

CoreTypes

Référence CVE : CVE-2008-1032

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : les utilisateurs ne sont pas avertis avant d’ouvrir certains types de contenu potentiellement dangereux.

Description : cette mise à jour ajoute à la liste du système des types de contenu qui seront signalés comme potentiellement dangereux dans certaines circonstances, par exemple lorsqu’ils sont téléchargés à partir d’une page web. Bien que ces types de contenu ne se lancent pas automatiquement, ils peuvent entraîner l’exécution d’une charge utile malveillante en cas d’ouverture manuelle. Cette mise à jour améliore la capacité du système à avertir les utilisateurs avant qu’ils ne manipulent des types de contenu utilisés par Automator, Aide, Safari et Terminal. Sous Mac OS X 10.4, cette fonctionnalité est fournie par la fonctionnalité de validation du téléchargement. Sous Mac OS X v10.5, cette fonctionnalité est fournie par la fonctionnalité de mise en quarantaine. Nous remercions Brian Mastenbrook d’avoir signalé ce problème.

CUPS

Référence CVE : CVE-2008-1033

Disponible pour : Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : l’impression sur des imprimantes protégées par mot de passe avec la journalisation de débogage activée peut entraîner la divulgation d’informations sensibles.

Description : il existe un problème lors de la vérification des variables d’environnement d’authentification par le planificateur CUPS lorsque la journalisation de débogage est activée. Cela peut entraîner la divulgation du nom d’utilisateur, du domaine et du mot de passe lors de l’impression sur une imprimante protégée par mot de passe. Ce problème est résolu en validant correctement les variables de l’environnement. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5 sur lesquels la mise à jour de sécurité 2008-002 est installée.

Flash Player Plug-in

Références CVE : CVE-2007-5275, CVE-2007- 6243, CVE-2007- 6637, CVE-2007-6019, CVE-2007-0071, CVE-2008-1655, CVE-2008-1654

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : l’ouverture de contenu Flash malveillant peut entraîner l’exécution arbitraire de code.

Description : il existe plusieurs problèmes dans le module Adobe Flash Player, dont le plus grave peut entraîner l’exécution arbitraire de code. Le problème est résolu en installant la version 9.0.124.0. Des informations supplémentaires sont disponibles sur la page http://www.adobe.com/support/security/bulletins/apsb08-11.html

Help Viewer

Référence CVE : CVE-2008-1034

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11

Conséquence : une URL help:topic malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

Description : un souspassement d’entier dans la gestion des URL help:topic par le visualiseur d’aide peut entraîner un dépassement de la mémoire tampon. L’accès à une URL help:topic malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par une meilleure vérification des limites. Ce problème ne concerne pas les systèmes sous Mac OS X 10.5 ou version ultérieure. Nous remercions Paul Haddad de PTH Consulting d’avoir signalé ce problème.

iCal

Référence CVE : CVE-2008-1035

Disponible pour : Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : l’ouverture d’un fichier iCalendar malveillant dans iCal peut entraîner l’arrêt inopiné de l’application ou l’exécution de code arbitraire.

Description : il existe un problème use-after-free dans la gestion des fichiers iCalendrier (généralement « .ics ») par l’application iCal. L’ouverture d’un fichier iCalendar malveillant dans iCal peut entraîner l’arrêt inopiné de l’application ou l’exécution de code arbitraire. Le problème est résolu en améliorant le décompte des références dans le code concerné. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5. Nous remercions Rodrigo Carvalho de Core Security Technologies de l’avoir signalé.

International Components for Unicode

Référence CVE : CVE-2008-1036

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : la consultation de certains sites web peut entraîner la divulgation d’informations sensibles.

Description : il existe un problème de conversion dans le traitement de certains codages de caractères par ICU. Certaines séquences de caractères non valides peuvent ne pas apparaître dans la sortie convertie, ce qui peut affecter les filtres de contenu. La consultation d’un site web malveillant peut entraîner une injection de code indirecte et la divulgation d’informations sensibles. Le problème est résolu en remplaçant les séquences de caractères non valides par un caractère de secours.

Image Capture

Référence CVE : CVE-2008-1571

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11

Conséquence : l’accès à une URL malveillante peut entraîner la divulgation d’informations.

Description : il existe un problème de parcours dans le serveur web intégré de Tranfert d’images. Cela peut entraîner la divulgation de fichiers locaux sur le système du serveur. Le problème est résolu grâce à une meilleure gestion des URL. Ce problème ne concerne pas les systèmes sous Mac OS X 10.5 ou version ultérieure.

Image Capture

Référence CVE : CVE-2008-1572

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11

Conséquence : un utilisateur local peut manipuler des fichiers avec les privilèges d’un autre utilisateur exécutant Transfert d’images.

Description : une opération de fichier non sécurisée existe dans la gestion des fichiers temporaires par Transfert d’images. Cela pourrait permettre à un utilisateur local d’écraser des fichiers avec les privilèges d’un autre utilisateur exécutant Transfert d’images, ou d’accéder au contenu des images redimensionnées. Le problème est résolu par une gestion améliorée des fichiers temporaires. Ce problème ne concerne pas les systèmes sous Mac OS X 10.5 ou version ultérieure.

ImageIO

Référence CVE : CVE-2008-1573

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : l’affichage d’une image GIF ou BMP malveillante peut entraîner la divulgation d’informations.

Description : une lecture hors limites de la mémoire peut se produire dans le moteur de décodage d’images GIF et BMP, ce qui peut entraîner la divulgation du contenu dans la mémoire. Cette mise à jour corrige le problème en effectuant une validation supplémentaire des images au format BMP et GIF. Nous remercions Gynvael Coldwind d’Hispasec d’avoir signalé ce problème.

ImageIO

Références CVE : CVE-2007-5266, CVE-2007-5268, CVE-2007-5269

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : plusieurs vulnérabilités existent dans la version 1.2.18 de libpng.

Description : il existe plusieurs vulnérabilités dans la version 1.2.18 de libpng, dont la plus grave peut entraîner un déni de service à distance. Ce problème est résolu en installant la version 1.2.24. Des informations supplémentaires sont disponibles sur la page http://www.libpng.org/pub/png/libpng.html

ImageIO

Référence CVE : CVE-2008-1574

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : l’affichage d’un fichier JPEG2000 malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : un dépassement d’entier dans la gestion des fichiers JPEG2000 peut entraîner un dépassement de la mémoire tampon. L’affichage d’un fichier JPEG2000 malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Ce problème est résolu par une validation supplémentaire des images JPEG2000.

Kernel

Référence CVE : CVE-2008-0177

Disponible pour : Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : un attaquant distant peut être en mesure de provoquer un arrêt inattendu du système.

Description : il existe une condition de défaillance non détectée dans la gestion des paquets avec un en-tête IPComp. En envoyant un paquet malveillant à un système configuré pour utiliser le protocole IPSec ou IPv6, un attaquant peut provoquer l’arrêt inopiné du système. Ce problème est résolu en détectant correctement la condition de défaillance.

Kernel

Référence CVE : CVE-2007-6359

Disponible pour : Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : un utilisateur local peut être en mesure de provoquer l’arrêt inopiné du système.

Description : il existe un déréférencement de pointeurs null dans la gestion des signatures de code par le noyau dans la fonction cs_validate_page. Cela peut permettre à un utilisateur local de provoquer l’arrêt inopiné du système. Ce problème est résolu en effectuant une validation supplémentaire des signatures de code. Il ne concerne pas les systèmes antérieurs à Mac OS X 10.5.

LoginWindow

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11

Conséquence : les préférences du client géré peuvent ne pas être appliquées.

Description : cette mise à jour corrige un problème non lié à la sécurité introduit dans la mise à jour de sécurité 2007-004. En raison d’un problème de concurrence, LoginWindow peut ne pas appliquer certaines préférences sur les systèmes gérés par le client géré pour Mac OS X (MCX). Le problème est résolu en éliminant le problème de concurrence dans le traitement des préférences gérées. Ce problème ne concerne pas les systèmes exécutant Mac OS X 10.5.

Mail

Référence CVE : CVE-2008-1576

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11

Conséquence : l’envoi d’e-mails via un serveur SMTP sur IPv6 peut entraîner la fermeture inopinée d’une application, la divulgation d’informations ou l’exécution arbitraire de code.

Description : un problème de mémoire tampon non initialisée existe dans Mail. Lors de l’envoi d’e-mails via un serveur SMTP sur IPv6, Mail peut utiliser un tampon contenant de la mémoire partiellement non initialisée, ce qui peut entraîner la divulgation d’informations sensibles aux destinataires de messages et aux administrateurs du serveur de messagerie. Cela peut également entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Le problème est résolu en initialisant correctement la variable. Ce problème ne concerne pas les systèmes sous Mac OS X 10.5 ou version ultérieure. Nous remercions Derek Morr de l’Université d’État de Pennsylvanie d’avoir signalé ce problème.

ruby

Référence CVE : CVE-2007-6612

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : un attaquant distant peut être en mesure de lire des fichiers arbitraires.

Description : Mongrel a été mis à jour vers la version 1.1.4 pour résoudre un problème de parcours de répertoire dans DirHandler qui peut entraîner la divulgation d’informations sensibles. Des informations supplémentaires sont disponibles sur la page http://rubyforge.org/projects/mongrel/ du site web de Mongrel.

Single Sign-On

Référence CVE : CVE-2008-1578

Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 à 10.5.2, Mac OS X Server 10.5 à 10.5.2

Conséquence : les mots de passe communiqués à sso_util sont consultables par d’autres utilisateurs locaux.

Description : l’outil de ligne de commande sso_util exigeait que les mots de passe lui soient transmis dans ses arguments, exposant potentiellement les mots de passe à d’autres utilisateurs locaux. Les mots de passe exposés incluent ceux destinés aux utilisateurs et aux administrateurs, ainsi que le mot de passe d’administration du centre de distribution de clés. Cette mise à jour rend le paramètre de mot de passe facultatif, et sso_util demandera le mot de passe si nécessaire. Nous remercions Geoff Franks du Hauptman Woodward Institute d’avoir signalé ce problème.

Wiki Server

Référence CVE : CVE-2008-1579

Disponible pour : Mac OS X Server 10.5 à 10.5.2

Conséquence : un attaquant distant peut déterminer des noms d’utilisateur valides sur les serveurs sur lesquels Wiki Server est activé.

Description : il existe un problème de divulgation d’informations dans Wiki Server lorsqu’un blog inexistant est consulté. À l’aide des informations contenues dans le message d’erreur, un attaquant peut déduire l’existence de noms d’utilisateur locaux. Le problème est résolu par une gestion améliorée des messages d’erreur. Il ne concerne pas les systèmes antérieurs à Mac OS X 10.5. Nous remercions Don Rainwater de l’Université de Cincinnati d’avoir signalé ce problème.