À propos de Security Update 2010-001

Ce document décrit Security Update 2010-001, qui peut être téléchargé et installé via les préférences Mise à jour du logiciel ou de téléchargements Apple.

Dans un souci de protection de nos clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles. Pour en savoir plus sur la sécurité des produits Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP de la sécurité produit d’Apple, consultez « Comment utiliser la clé PGP de la sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir de plus amples détails.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez « Mises à jour de la sécurité Apple ».

Cet article a été archivé et ne sera plus mis à jour par Apple.

Security Update 2010-001

  • CoreAudio

    Référence CVE : CVE-2010-0036

    Disponible pour : Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Conséquences : la lecture d’un fichier audio mp4 construit de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution d’un code quelconque

    Description : il existe un dépassement de mémoire tampon lors de la gestion de fichiers audio mp4. La lecture d’un fichier audio mp4 construit de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution d’un code quelconque. Ce problème est résolu par la vérification améliorée des limites. Nous remercions Tobias Klein de www.trapkit.de pour avoir signalé ce problème.

  • CUPS

    Référence CVE : CVE-2009-3553

    Disponible pour : Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Conséquences : un attaquant distant peut conduire à la fermeture inopinée de l’application de cupsd

    Description : un problème d’utilisation ultérieure libre existe dans cupsd. En émettant une demande de tâches d’impression construite de manière malveillante, un attaquant peut entraîner un refus de service à distance. Ce problème est résolu avec le redémarrage automatique de cupsd après sa fermeture. Ce problème est résolu avec l’utilisation d’une connexion améliorée de suivi.

  • Module externe Flash Player

    Références CVE : CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    Disponible pour : Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Conséquences : plusieurs vulnérabilités dans le module externe Adobe Flash Player

    Description : plusieurs problèmes existent dans le module externe Adobe Flash Player, dont le plus grave peut provoquer l’exécution de code arbitraire lors de l’affichage d’un site web malveillant. Ces problèmes sont résolus en effectuant une mise à niveau du module externe Flash Player vers la version 10.0.42. Vous trouverez des informations supplémentaires sur le site web d’Adobe à l’adresse suivante : http://www.adobe.com/support/security/bulletins/apsb09-19.html Nous remercions un chercheur anonyme et Damian Put travaillant avec TippingPoints Zero Day Initiative, Bing Liu de l’équipe de recherche Fortinet FortiGuard Global Security, Will Dormann de CERT, Manuel Caballero et Microsoft Vulnerability Research (MSVR).

  • ImageIO

    Référence CVE : CVE-2009-2285

    Disponibles pour : Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Conséquences : l’affichage d’image TIFF conçue de manière malveillante peut conduire à un blocage inattendu de l’application ou à une exécution de code arbitraire

    Description : il existe un soubassement de mémoire tampon au niveau de la gestion par ImageIO des images TIFF. L’affichage d’une image TIFF conçue de manière malveillante peut conduire à un blocage inattendu de l’application ou à une exécution de code arbitraire. Ce problème est résolu par la vérification améliorée des limites. Pour les systèmes Mac OS X v10.6, ce problème est résolu dans Mac OS X v10.6.2.

  • Image RAW

    Référence CVE : CVE-2010-0037

    Disponible pour : Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Conséquences : l’affichage d’une image DNG construite de manière malveillante peut conduire à un arrêt inopiné de l’application ou à l’exécution de code arbitraire

    Description : il existe un dépassement de mémoire tampon au niveau de la gestion par Image RAW des images DNG. L’affichage d’une image DNG construite de manière malveillante peut conduire à un arrêt inopiné de l’application ou à l’exécution de code arbitraire Ce problème est résolu par la vérification améliorée des limites. Nous remercions Jason Carr de Carnegie Mellon University Computing Services pour avoir signalé ce problème.

  • OpenSSL

    Référence CVE : CVE-2009-3555

    Disponible pour : Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Conséquences : un attaquant possédant une position privilégiée de réseau peut inscrire des données ou modifier les opérations effectuées dans les sessions protégées par SSL

    Description : une vulnérabilité de type « homme du milieu » existe dans les protocoles SSL et TLS. Vous trouverez des informations supplémentaires à l’adresse suivante : http://www.phonefactor.com/sslgap Une modification vers le protocole de renégociation est en cours dans l’IETF. Cette mise à jour désactive la renégociation dans OpenSSL en guise de mesure de sécurité préventive. Ce problème ne concerne pas les services utilisant Secure Transport car il ne gère pas la renégociation. Nous remercions Steve Dispensa et Marsh Ray de PhoneFactor, Inc. d’avoir signalé ce problème.

Important : les mentions de sites Web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites Web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Date de publication: