À propos de la mise à jour de sécurité 2009-005

Ce document décrit le contenu de la mise à jour de sécurité 2009-005.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

Mise à jour de sécurité 2009-005

  • Alias Manager

    Référence CVE : CVE-2009-2800

    Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : l’ouverture d’un fichier alias malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de tampon existe dans la gestion des fichiers alias. L’ouverture d’un fichier alias malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Ce problème ne concerne pas les systèmes Mac OS X 10.6. Source : Apple.

  • CarbonCore

    Référence CVE : CVE-2009-2803

    Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : l’ouverture d’un fichier comprenant une branche de ressources malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de corruption de mémoire existe dans la gestion des branches de ressources par le gestionnaire de ressources. Conséquence : l’ouverture d’un fork de ressources malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une meilleure validation des branches de ressources. Ce problème ne concerne pas les systèmes Mac OS X 10.6. Source : Apple.

  • ClamAV

    Références CVE : CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372

    Disponible pour : Mac OS X Server 10.5.8

    Conséquence : plusieurs failles existent dans ClamAV 0.94.2.

    Description : plusieurs failles existent dans ClamAV 0.94.2, dont la plus grave peut entraîner l’exécution arbitraire de code. Cette mise à jour résout les problèmes en mettant à jour ClamAV vers la version 0.95.2. ClamAV est distribué uniquement avec les systèmes Mac OS X Server. Pour en savoir plus, consultez le site web de ClamAV à l’adresse http://www.clamav.net/. Ces problèmes ne concernent pas les systèmes Mac OS X 10.6.

  • ColorSync

    Référence CVE : CVE-2009-2804

    Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : l’affichage d’une image malveillante avec un profil ColorSync intégré peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de dépassement d’entier existe dans la gestion des images avec un profil ColorSync intégré, ce qui peut entraîner un dépassement de tampon de tas. L’ouverture d’une image malveillante avec un profil ColorSync intégré peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en procédant à une validation supplémentaire des profils ColorSync. Ce problème ne concerne pas les systèmes Mac OS X 10.6. Source : Apple.

  • CoreGraphics

    Référence CVE : CVE-2009-2805

    Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un dépassement d’entier dans la gestion des fichiers PDF par CoreGraphics peut entraîner un dépassement de tampon de tas. L’ouverture d’un fichier PDF comprenant un flux JBIG2 malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Merci à Will Dormann de CERT/CC d’avoir signalé ce problème. Ce problème ne concerne pas les systèmes Mac OS X 10.6.

  • CoreGraphics

    Référence CVE : CVE-2009-2468

    Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : la consultation d’un site web malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de tampon de tas existe dans le tracé de longues chaînes de texte. La consultation d’un site web malveillant pouvait entraîner la fermeture inopinée d’applications ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Ce problème ne concerne pas les systèmes Mac OS X 10.6. Merci à Will Drewry de Google Inc. d’avoir signalé ce problème.

  • CUPS

    Référence CVE : CVE-2009-0949

    Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : un attaquant distant peut refuser l’accès au service de partage d’imprimante.

    Description : un problème de déréférencement de pointeur nul existe dans CUPS. En envoyant de manière répétée des requêtes de programmateur malveillantes, un attaquant distant peut refuser l’accès au service de partage d’imprimante. Cette mise à jour résout le problème grâce à une meilleure validation des requêtes de programmateur. Ce problème ne concerne pas les systèmes Mac OS X 10.6. Merci à Anibal Sacco de la CORE IMPACT Exploit Writing Team (EWT) de Core Security Technologies d’avoir signalé ce problème.

  • CUPS

    Référence CVE : CVE-2009-2807

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : un utilisateur local sans privilèges peut obtenir des privilèges système.

    Description : un problème de dépassement de tampon de tas existe dans le back end USB de CUPS. Cela peut permettre à un utilisateur local d’obtenir des privilèges système. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5 ni les systèmes Mac OS X 10.6.

  • Flash Player plug-in

    Références CVE : CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870

    Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : plusieurs failles existent dans le module externe Adobe Flash Player.

    Description : plusieurs problèmes existent dans le module externe Adobe Flash Player, dont le plus grave peut entraîner l’exécution arbitraire de code lors de l’accès à un site web malveillant. Ces problèmes sont résolus par la mise à jour du module externe Flash Player vers la version 10.0.32.18 sur les systèmes Mac OS X 10.5.8, et vers la version 9.0.246.0 sur les systèmes Mac OS X 10.4.11. Pour les systèmes Mac OS X 10.6, ces problèmes sont résolus dans Mac OS X 10.6.1. Pour en savoir plus, consultez le site web d’Adobe à l’adresse http://www.adobe.com/support/security/bulletins/apsb09-10.html

  • ImageIO

    Référence CVE : CVE-2009-2809

    Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : l’affichage d’une image TIFF malveillante encodée au format PixarFilm peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : plusieurs problèmes de corruption de mémoire existent dans la gestion par ImageIO des images TIFF encodées au format PixarFilm. L’affichage d’une image TIFF malveillante encodée au format PixarFilm peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en procédant à une validation supplémentaire des images TIFF encodées au format PixarFilm. Ce problème ne concerne pas les systèmes Mac OS X 10.6. Source : Apple.

  • Launch Services

    Référence CVE : CVE-2009-2811

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : il est possible qu’aucun avertissement ne s’affiche lors d’une tentative d’ouverture d’un contenu téléchargé dangereux.

    Description : cette mise à jour ajoute le type « .fileloc » à la liste système des types de contenu identifiés comme étant potentiellement dangereux dans certains cas, par exemple lorsqu’ils sont téléchargés à partir d’un e-mail. Bien que ces types de contenu ne se lancent pas automatiquement, leur ouverture manuelle peut entraîner l’exécution de données utiles malveillantes. Cette mise à jour améliore la capacité du système à avertir les utilisateurs avant de traiter des fichiers « .fileloc ». Ce problème ne concerne pas les systèmes Mac OS X 10.6. Source : Apple.

  • Launch Services

    Référence CVE : CVE-2009-2812

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : la consultation d’un site web malveillant peut entraîner l’exécution arbitraire de code.

    Description : lors du téléchargement d’une application, Launch Services analyse les types de documents qu’elle peut exporter. Un problème de conception dans la gestion des types de documents exportés peut aboutir à ce que Launch Services associe une extension de fichier sûre à un UTI (Uniform Type Identifier) dangereux. La consultation d’un site web malveillant peut entraîner une ouverture automatique d’un type de fichier dangereux. Cette mise à jour résout le problème grâce à une meilleure gestion des types de documents exportés à partir d’applications non fiables. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5 ni les systèmes Mac OS X 10.6. Source : Apple.

  • MySQL

    Référence CVE : CVE-2008-2079

    Disponible pour : Mac OS X Server 10.5.8

    Conséquence : MySQL est mis à jour vers la version 5.0.82.

    Description : MySQL est mis à jour vers la version 5.0.82 pour résoudre un problème de mise en œuvre qui permet à un utilisateur local d’obtenir des privilèges élevés. Ce problème concerne uniquement les systèmes Mac OS X Server. Ce problème ne concerne pas les systèmes Mac OS X 10.6. Pour en savoir plus, consultez le site web de MySQL à l’adresse http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html

  • PHP

    Références CVE : CVE-2009-1271, CVE-2009-1272, CVE-2008-5498

    Disponible pour : Mac OS X 10.5, Mac OS X Server 10.5.8

    Conséquence : plusieurs failles existent dans PHP 5.2.8.

    Description : PHP est mis à jour vers la version 5.2.10 pour résoudre plusieurs failles, dont la plus grave peut entraîner l’exécution arbitraire de code. Pour en savoir plus, consultez le site web de PHP à l’adresse http://www.php.net/. Ces problèmes ne concernent pas les systèmes Mac OS X 10.6.

  • SMB

    Référence CVE : CVE-2009-2813

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : l’activation du partage de fichiers de Windows peut entraîner un partage inopiné de dossiers.

    Description : une condition d’erreur non vérifiée existe dans Samba. Un utilisateur qui n’a pas configuré de répertoire de départ et se connecte au service de partage de fichiers de Windows peut accéder au contenu du système de fichiers, en fonction des autorisations du système de fichiers local. Cette mise à jour résout le problème grâce à une meilleure gestion des erreurs de résolution des chemins d’accès. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5 ni les systèmes Mac OS X 10.6. Merci à J. David Hester de LCG Systems National Institutes of Health d’avoir signalé ce problème.

  • Wiki Server

    Référence CVE : CVE-2009-2814

    Disponible pour : Mac OS X Server 10.5.8

    Conséquence : un attaquant distant peut obtenir l’accès à des comptes utilisateur de Wiki Server.

    Description : un problème d’injection de code indirect existe dans la gestion par Wiki Server des requêtes de recherche contenant des données non encodées en UTF-8. Cela peut permettre à un attaquant distant d’accéder à un serveur Wiki à l’aide des informations d’identification de l’utilisateur de Wiki Server effectuant la recherche. Cette mise à jour résout le problème en définissant UTF-8 comme standard de caractères par défaut dans les réponses HTTP. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5 ni les systèmes Mac OS X 10.6. Source : Apple.

Important : les mentions de sites web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’assume aucune responsabilité en ce qui concerne la sélection, les performances ou l’utilisation des informations ou des produits disponibles sur les sites web tiers. Apple fournit ces informations uniquement pour rendre service à ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. L’utilisation d’informations ou de produits trouvés sur Internet comporte des risques, et Apple n’assume aucune responsabilité à cet égard. Veuillez noter que les sites web tiers sont indépendants d’Apple et qu’Apple n’a aucun contrôle sur leur contenu. Veuillez contacter le fournisseur pour obtenir plus d’informations.

Date de publication: