À propos du contenu sécuritaire de Mac OS X v10.5.5 et Security Update 2008-006

Mac OS X v10.5.5 et Security Update 2008-006

• ATS

  CVE-ID : CVE-2008-2305

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.4, Mac OS X Server v10.5 à v10.5.4

  Impact : L'affichage d'un document comportant une police conçue de manière malveillante peut conduire à une exécution de code quelconque.

  Description : Il existe un dépassement de mémoire tampon dans la gestion des noms de police Postscript par Apple Type Services. L'affichage d'un document comportant une police conçue de manière malveillante peut conduire à une exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les noms de police. Nous remercions Chris Ries de Carnegie Mellon University Computing Services pour avoir signalé ce problème.

• BIND

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.4, Mac OS X Server v10.5 à v10.5.4

  Impact : BIND est mis à jour et permet de résoudre les problèmes de performance.

  Description : BIND est mis à jour vers la version 9.4.2-P2 et permet de résoudre les problèmes de performance. Sur les systèmes Mac OS X v10.4.11, BIND est mis à jour vers la version 9.3.5-P2. Sur les systèmes Mac OS X v10.5.4, BIND est mis à jour vers la version 9.4.2-P2. Pour plus d'informations, veuillez consulter le site Web ISC sur http://www.isc.org/index.pl?/sw/bind/.

• ClamAV

  CVE-ID: CVE-2008-1100, CVE-2008-1387, CVE-2008-0314, CVE-2008-1833, CVE-2008-1835, CVE-2008-1836, CVE-2008-1837, CVE-2008-2713, CVE-2008-3215

  Disponible pour : Mac OS X Server v10.4.11, Mac OS X Server v10.5 - v10.5.4

  Impact : De multiples vulnérabilités dans ClamAV 0.92.1.

  Description : Il existe de multiples vulnérabilités dans ClamAV 0.92.1, la plus grave pouvant conduire à l'exécution de code quelconque. Cette mise à jour résout le problème en mettant à jour ClamAV 0.93.3. Pour plus d'informations, veuillez consulter le site Web ClamAV sur http://www.clamav.net/.

• Services de répertoire

  CVE-ID : CVE-2008-2329

  Disponible pour : Mac OS X v10.5 - v10.5.4, Mac OS X Server v10.5 - v10.5.4

  Impact : Un utilisateur qui peut accéder à l'écran de connexion peut répertorier les noms d'utilisateur.

  Description : Il existe un problème de divulgation d'informations dans la fenêtre d'ouverture de session lorsqu'elle est configurée pour authentifier les utilisateurs avec Active Directory. En saisissant des caractères de remplacement dans le champ du nom d'utilisateur, une liste de noms d'utilisateur peut être affichée depuis Active Directory. Cette mise à jour résout le problème en améliorant le traitement des noms d'utilisateur dans les services de répertoire. Nous remercions le Département IT de la West Seneca Central School District pour avoir signalé ce problème.

• Services de répertoire

  CVE-ID : CVE-2008-2330

  Disponible pour : Mac OS X Server v10.4.11, Mac OS X Server v10.5 - v10.5.4

  Impact : Un utilisateur local peut obtenir le mot de passe du serveur si un administrateur système OpenLDAP exécute slapconfig.

  Description : Il existe un problème concernant une opération de fichier non sécurisé dans l'outil slapconfig permettant de configurer d'OpenLDAP. Un utilisateur local peut effectuer une opération qui inscrit le mot de passe entré par un administrateur système exécutant slapconfig, dans un fichier contrôlé par l'utilisateur. Cette mise à jour résout le problème en vérifiant la valeur de retour de la fonction mkfifo.

• Finder

  CVE-ID : CVE-2008-2331

  Disponible pour : Mac OS X v10.5 - v10.5.4, Mac OS X Server v10.5 - v10.5.4

  Impact : La fenêtre Lire les informations n'affiche pas les privilèges réels d'un fichier.

  Description : Dans certains cas, Finder ne met pas à jour les autorisations affichées dans la fenêtre Lire les informations. Après avoir cliqué sur le bouton de verrouillage, les modifications effectuées dans le système de fichiers Partage et permissions seront effectives, mais elles ne s'afficheront pas. Cette mise à jour résout le problème en mettant correctement à jour les autorisations d'affichage lorsque les privilèges d'accès d'un fichier ont été modifiés. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X v10.5. Nous remercions Michel Colman pour avoir signalé ce problème.

• Finder

  CVE-ID : CVE-2008-3613

  Disponible pour : Mac OS X v10.5 - v10.5.4, Mac OS X Server v10.5 - v10.5.4

  Impact : Un utilisateur malveillant qui a accès au réseau local peut provoquer un refus de service.

  Description : Il existe un problème de déréférencement de pointeur NULL dans le Finder lorsqu'il recherche un disque distant. Un utilisateur malveillant qui a accès au réseau local peut provoquer la fermeture immédiate de Finder après son démarrage, rendant le système inutilisable. Cette mise à jour résout le problème en ajoutant une vérification pour un pointeur NULL. Ce problème n'affecte que les configurations suivantes : tout produit exécutant Mac OS X v10.5.2, MacBook Air exécutant Mac OS X v10.5.4. Nous remercions Yuxuan Wang de Sogou pour avoir signalé ce problème.

• ImageIO

  CVE-ID : CVE-2008-2327

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.4, Mac OS X Server v10.5 à v10.5.4

  Impact : L'affichage d'une image TIFF conçue de manière malveillante peut conduire à un blocage inattendu de l'application ou à une exécution de code quelconque.

  Description : Il existe de multiples problèmes d'accès à la mémoire non initialisée dans la gestion des images encodées LZW par libTIFF. L'affichage d'image TIFF conçue de manière malveillante peut conduire à un blocage inattendu de l’application ou à une exécution de code quelconque. Cette mise à jour résout le problème par une initialisation de la mémoire appropriée et une validation supplémentaire des images TIFF.

• ImageIO

  CVE-ID : CVE-2008-2332

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.4, Mac OS X Server v10.5 à v10.5.4

  Impact : L'affichage d'image TIFF conçue de manière malveillante peut conduire à un blocage inattendu de l’application ou à une exécution de code quelconque.

  Description : Il existe un problème de corruption de la mémoire dans la gestion d'images TIFF par ImageIO. L'affichage d'image TIFF conçue de manière malveillante peut conduire à un blocage inattendu de l’application ou à une exécution de code quelconque. Cette mise à jour résout le problème par l'amélioration du traitement d'image TIFF. Nous remercions Robert Swiecki de l’équipe sécurité de Google pour avoir signalé ce problème.

• ImageIO

  CVE-ID : CVE-2008-3608

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.4, Mac OS X Server v10.5 à v10.5.4

  Impact : L'affichage d'une image JPEG conçue de manière malveillante peut conduire à un blocage inattendu de l'application ou à une exécution de code quelconque.

  Description : Il existe un problème de corruption de la mémoire dans la gestion des profils ICC intégrés dans les images JPEG par ImageIO. L'affichage d'une image JPEG de grande taille conçue de manière malveillante peut conduire à un blocage inattendu de l’application ou à une exécution de code quelconque. Cette mise à jour résout le problème par l'amélioration du traitement d'image JPEG.

• ImageIO

  CVE-ID : CVE-2008-1382

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.4, Mac OS X Server v10.5 à v10.5.4

  Impact : libpng dans ImageIO est mis à jour vers la version 1.2.29.

  Description : libpng dans ImageIO est mis à jour vers la version 1.2.29. CVE-2008-1382 n'est pas connu pour affecter l'utilisation de libpng dans ImageIO. Cette mise à jour n'est effectuée que par mesure de précaution.

• Noyau

  CVE-ID : CVE-2008-3609

  Disponible pour : Mac OS X v10.5 - v10.5.4, Mac OS X Server v10.5 - v10.5.4

  Impact : Un utilisateur local qui n'a pas les autorisations appropriées peut avoir accès aux fichiers.

  Description : Les informations d'authentification mises en cache ne sont pas toujours effacées lorsqu'un nœud est recyclé. Cela permet à l'utilisateur local de lire ou d'écrire dans un fichier dont les autorisations ne le permettrait pas. Cette mise à jour résout le problème par une amélioration de la gestion des nœuds purgés. Nous remercions Nevin ":-)" Liber, Thomas Pelaia du Oak Ridge National Lab, Thomas Tempelmann et Ram Kolli pour avoir signalé ce problème.

• libresolv

  CVE-ID : CVE-2008-1447

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.4, Mac OS X Server v10.5 à v10.5.4

  Impact : libresolv est susceptible d'empoisonner le cache DNS et de renvoyer des informations erronées.

  Description : libresolv fournit une transcription entre les adresses Internet et les adresses IP pour les applications qui utilisent son API de résolution DNS de monodiffusion. Toute faille dans le protocole DNS permet aux pirates d'empoisonner la mémoire cache DNS. Par conséquent, les applications qui reposent sur libresolv pour le DNS risquent de recevoir des informations erronées. Cette mise à jour résout le problème en appliquant la randomisation de ports sources permettant d'améliorer la tolérance contre les attaques d'empoisonnement de la mémoire cache. Notez que les outils BIND, dig, host et nslookup, utilisent leur propre bibliothèque de résolution et ne sont pas résolus par cette mise à jour. Nous remercions Dan Kaminsky de IOActive pour avoir signalé ce problème.

• Fenêtre d’ouverture de session

  CVE-ID : CVE-2008-3610

  Disponible pour : Mac OS X v10.5 - v10.5.4, Mac OS X Server v10.5 - v10.5.4

  Impact : Un utilisateur peut se connecter sans fournir de mot de passe.

  Description : Il existe une condition de concurrence dans la fenêtre d'ouverture de session. Pour déclencher ce problème, le système doit activer le compte Invité ou un autre compte sans mot de passe. En peu de tentatives, une tentative de connexion à un tel compte ne peut pas aboutir. La liste d'utilisateurs est alors de nouveau affichée et l'utilisateur peut ouvrir une session en tant que n'importe quel utilisateur sans fournir de mot de passe. Si le compte d'origine était le compte Invité, le contenu du nouveau compte sera supprimé lors de la fermeture de la session. Cette mise à jour résout le problème en effaçant correctement l'état de la fenêtre d'ouverture de session lorsque l'ouverture n'aboutit pas. Ce problème ne concerne pas les versions de Mac OS X v10.5.

• Fenêtre d'ouverture de session

  CVE-ID : CVE-2008-3611

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11

  Impact : Un utilisateur qui a accès à l'écran de connexion peut modifier le mot de passe d'utilisateur.

  Description : Lorsqu'un système a été configuré pour appliquer les règles de mot de passe de connexion, les utilisateurs peuvent avoir à modifier leur mot de passe dans leur écran de connexion. Si une modification de mot de passe échoue, un message d'erreur s'affiche, mais le mot de passe actuel n'est pas effacé. Cela n'est pas évident pour l'utilisateur. Si l'utilisateur laisse le système sans surveillance avec ce message d'erreur affiché, une personne qui a accès à l'écran de connexion peut réinitialiser le mot de passe de cet utilisateur. Cette mise à jour résout le problème en effaçant le mot de passe actuel lors du retour à l'écran de connexion. Ce problème est absent dans les systèmes Mac OS X v10.5 ou ultérieur. Nous remercions Christopher A. Grande du Middlesex Community College pour avoir signalé ce problème.

• mDNSResponder

  CVE-ID : CVE-2008-1447

  Disponible pour : Mac OS X v10.5 - v10.5.4, Mac OS X Server v10.5 - v10.5.4

  Impact : mDNSResponder est susceptible d'empoisonner le cache DNS et peut renvoyer des informations erronées.

  Description : mDNSResponder fournit une transcription entre les adresses Internet et les adresses IP pour les applications qui utilisent son API de résolution DNS de monodiffusion. Une faille dans le protocole DNS permet à un utilisateur malveillant d'effectuer à distance des attaques par empoisonnement de cache DNS. Par conséquent, les applications qui reposent sur mDNSResponder pour le DNS risquent de recevoir des informations erronées. Cette mise à jour résout le problème en appliquant une randomisation du port source et de la transaction de l'ID pour améliorer la résistance aux attaques par empoisonnement de cache. Nous remercions Dan Kaminsky de IOActive pour avoir signalé ce problème.

• OpenSSH

  CVE-ID : CVE-2008-1483, CVE-2008-1657

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.4, Mac OS X Server v10.5 à v10.5.4

  Impact : il existe plusieurs vulnérabilités dans OpenSSH, la plus grave étant le contrôle de session local X11.

  Description : Il existe de multiples vulnérabilités dans les versions de OpenSSH fournies avec Mac OS X v10.4.11 et Mac OS X v10.5.4 la plus grave permettant à un utilisateur local de contrôler la session X11 d'un autre utilisateur. Cette mise à jour résout le problème en mettant à jour vers OpenSSH 5.1p1. Pour plus d'informations, veuillez consulter le site Web de OpenSSH sur http://www.openssh.com/security.html.

• QuickDraw Manager

  CVE-ID : CVE-2008-3614

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.4, Mac OS X Server v10.5 à v10.5.4

  Impact : L’ouverture d’une image PICT conçue de manière malveillante peut conduire à un blocage inattendu de l’application ou à une exécution de code quelconque.

  Description : Il existe un dépassement d'entier dans le traitement d'images PICT par QuickDraw. L’ouverture d’une image PICT malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code arbitraire. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images PICT. Nous remercions un chercheur anonyme travaillant avec iDefense d’avoir signalé ce problème.

• Ruby

  CVE-ID : CVE-2008-2376

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.4, Mac OS X Server v10.5 à v10.5.4

  Impact : L'exécution d'un script Ruby qui utilise une saisie non fiable comme arguments pour la méthode Array#fill peut conduire à un blocage inattendu de l’application ou à une exécution de code quelconque.

  Description : Il existe un dépassement d'entier dans rb_ary_fill() qui implémente la méthode Ruby Array#fill. L'exécution d'un script Ruby qui utilise une saisie non fiable comme arguments pour la méthode Array#fill peut conduire à un blocage inattendu de l’application ou à une exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les arguments de rb_ary_fill().

• SearchKit

  CVE-ID : CVE-2008-3616

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.4, Mac OS X Server v10.5 à v10.5.4

  Impact : Les applications transmettant une saisie non fiable à l'API de SearchKit peut conduire à un blocage inattendu de l’application ou à une exécution de code quelconque.

  Description : Il existe des problèmes de dépassement d'entier dans les fonctions dans le cadre de SearchKit. La transmission d'une saisie non fiable à SearchKit par une application peut conduire à un blocage inattendu de l’application ou à une exécution de code quelconque. Cette mise à jour résout le problème par la vérification améliorée des limites.

• Configuration système

  CVE-ID : CVE-2008-2312

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11

  Impact : Un utilisateur local peut obtenir le mot de passe PPP.

  Description : Les préférences réseau stockent les mots de passe non chiffrés dans un fichier consultable dans le monde entier et accessible à tous les utilisateur locaux. Cette mise à jour résout le problème en stockant les mots de passe PPP dans le trousseau système lors d'une modification de mot de passe. Ce problème est absent dans les systèmes Mac OS X v10.5 ou ultérieur. Nous remercions Hernan Ochoa de Core Security Technologies, Tore Halset de pvv.org et Matt Johnston de University Computer Club pour avoir signalé ce problème.

• Préférences Système

  CVE-ID : CVE-2008-3617

  Disponible pour : Mac OS X v10.5 - v10.5.4, Mac OS X Server v10.5 - v10.5.4

  Impact : Les utilisateurs peuvent être incités à croire que leurs mots de passe sont plus forts qu'ils ne le sont.

  Description : La gestion à distance et le partage d'écran peuvent être configurés pour exiger un mot de passe des visualiseurs VNC. La longueur maximale des mots de passe des visualiseurs VNC est de huit caractères. Le champ du mot de passe peut afficher plus de huit caractères, impliquant que les caractères supplémentaires sont utilisés dans le mot de passe. Cette mise à jour résout le problème en limitant les mots de passe des visualiseurs VNC à huit caractères dans l'interface utilisateur. Nous remercions Michal Fresel de hi competence e.U pour avoir signalé ce problème.

• Préférences système

  CVE-ID : CVE-2008-3618

  Disponible pour  Mac OC X v10.5 - v10.5.4

  Impact : Un utilisateur authentifié peut avoir un accès à distance inattendu à des fichiers et des répertoires.

  Description : La fenêtre de partage de fichiers dans la fenêtre des préférences de partage ne communique pas entièrement les véritables privilèges d'accès. Un utilisateur peut déduire que seuls les dossiers listés sous "Dossiers partagés" sont accessibles. Toutefois, un utilisateur authentifié peut également accéder à son répertoire de départ et un administrateur peut accéder à tous les disques du système. Cette mise à jour fournit de la lecture supplémentaire pour aider à expliquer les véritables autorisations d'accès. Les systèmes antérieurs à Mac OS X v10.5 n'affichaient pas de liste des dossiers partagés dans la fenêtre Partage des fichiers. Ce problème n'affecte pas les systèmes MAC OS X Server.

• Time Machine

  CVE-ID : CVE-2008-3619

  Disponible pour : Mac OS X v10.5 - v10.5.4, Mac OS X Server v10.5 - v10.5.4

  Impact : La sauvegarde d'un système avec Time Machine peut conduire à la divulgation d'informations confidentielles.

  Description : Lors de la sauvegarde Time Machine, plusieurs fichiers d'historiques sont sauvegardés sur le disque de sauvegarde avec une autorisation de lecture pour les autres utilisateurs. Cela peut entraîner la divulgation d'informations confidentielles. Cette mise à jour résout le problème en appliquant davantage d'autorisations restrictives aux fichiers d'historique sauvegardés. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X v10.5. Nous remercions Edwin McKenzie pour avoir signalé ce problème.

• Vidéoconférence

  CVE-ID : CVE-2008-3621

  Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.4, Mac OS X Server v10.5 à v10.5.4

  Impact : Une vidéoconférence avec un utilisateur malveillant peut conduire à un blocage inattendu de l’application ou à une exécution de code quelconque.

  Description : Il existe un problème de corruption de la mémoire dans la gestion du média encodé H.264 par la structure de vidéoconférence. Une vidéoconférence avec un utilisateur malveillant peut conduire à un blocage inattendu de l’application ou à une exécution de code quelconque. Cette mise à jour résout le problème par la vérification améliorée des limites.

• Serveur Wiki

  CVE-ID : CVE-2008-3622

  Disponible pour : Mac OS X v10.5 - v10.5.4, Mac OS X Server v10.5 - v10.5.4

  Impact : Un utilisateur malveillant à distance peut provoquer une injection JavaScript persistante sur un serveur Wiki.

  Description : L'archive de la liste de diffusion du serveur Wiki exécute un code JavaScript incorporé dans des messages. Une personne à distance peut envoyer un e-mail comportant du code JavaScript à une liste de diffusion hébergée sur un serveur Wiki. L'affichage du message depuis l'archive de la liste de diffusion du serveur Wiki déclenchera l'exécution du code JavaScript incorporé sur le système de la personne qui consulte le message. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les e-mails. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X v10.5. Nous remercions Leon von Tippelskirch et Matthias Wieczorek de Chair for Applied Software Engineering, TU Munich pour avoir signalé ce problème.