Langues

Archived - À propos de la mise à jour de sécurité 2010-005

Ce document décrit la mise à jour de sécurité 2010-005, qui peut être téléchargée et installée via les préférences Mise à jour de logiciels ou des téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles. Pour en savoir plus sur la sécurité des produits Apple, consultez le site Web Sécurité produit d’Apple.

Pour plus d’informations sur la clé PGP de la sécurité produit d’Apple, consultez l’article « Utilisation de la clé PGP de la sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir de plus amples détails.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Cet article a été archivé et ne sera plus mis à jour par Apple.

Mise à jour de sécurité 2010-005

  • ATS

    Référence CVE : CVE-2010-1808

    Disponible pour : Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Conséquences : l’affichage ou le téléchargement d’un document contenant une police intégrée conçue de manière malveillante peut entraîner une exécution de code arbitraire

    Description : dépassement de la mémoire tampon dans la gestion des polices intégrées par Apple Type Services. L’affichage ou le téléchargement d’un document contenant une police intégrée conçue de manière malveillante peut entraîner l’exécution arbitraire de code. Ce problème est résolu par la vérification améliorée des limites.

  • CFNetwork

    Référence CVE : CVE-2010-1800

    Disponible pour : Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Conséquences : un attaquant possédant une position privilégiée de réseau risque d'intercepter les informations d'identification de l'utilisateur ou d'autres données sensibles

    Description : CFNetwork autorise les connexions TLS/SSL anonymes. Un attaquant de type « homme du milieu » risque de rediriger les connexions et d'intercepter les informations d'identification de l'utilisateur ou d'autres données sensibles. Ce problème ne concerne pas l'application Mail. Ce problème est résolu par la désactivation des connexions TLS/SSL anonymes. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X v10.6.3. Merci à Aaron Sigel de vtty.com, Jean-Luc Giraud de Citrix, Tomas Bjurman de Sirius IT et Wan-Teh Chang de Google, Inc. d'avoir signalé ce problème.

  • ClamAV

    CVE-ID : CVE-2010-0098, CVE-2010-1311

    Disponible pour : Mac OS X Server v10.5.8, Mac OS X Server v10.6.4

    Conséquences : ClamAV comporte plusieurs vulnérabilités.

    Description : ClamAV présente plusieurs vulnérabilités, la plus grave pouvant entraîner l’exécution arbitraire de code. Les problèmes sont résolus par la mise à jour de ClamAV vers la version 0.96.1. ClamAV est seulement distribué avec les systèmes Mac OS X Server. Vous trouverez des informations supplémentaires sur le site Web de ClamAV, à l’adresse http://www.clamav.net.

  • CoreGraphics

    Référence CVE : CVE-2010-1801

    Disponible pour : Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Conséquences : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : il existe un débordement d'un segment de mémoire tampon lors du traitement des fichiers PDF dans CoreGraphics. L’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par la vérification améliorée des limites. Merci à Rodrigo Rubira Branco de Check Point Vulnerability Discovery Team (VDT) d'avoir signalé ce problème.

  • libsecurity

    Référence CVE : CVE-2010-1802

    Disponible pour : Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Conséquences : un attaquant possédant une position privilégiée de réseau en mesure d'obtenir un nom de domaine dont seuls les derniers caractères diffèrent du nom de domaine légitime risque d'usurper l'identité d'hôtes sur ce domaine

    Description : il existe un problème de traitement des noms d'hôte de certificat. Pour les noms d'hôte contenant au moins trois composants, les derniers caractères ne sont pas correctement comparés. Dans le cas d'un nom contenant exactement trois composants, seul le dernier caractère n'est pas vérifié. Par exemple, si un attaquant possédant une position privilégiée de réseau obtient un certificat pour www.exemple.con, l'attaquant peut usurper l'identité de www.exemple.com. Ce problème est résolu par une meilleure gestion des noms d'hôtes de certificats. Merci à Peter Speck d'avoir signalé ce problème.

  • PHP

    Référence CVE : CVE-2010-1205

    Disponible pour : Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Conséquences : le chargement d’une image PNG construite de manière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : il existe un dépassement de la mémoire tampon dans la bibliothèque libpng de PHP. Le chargement d’une image PNG construite de manière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par la mise à jour de libpng dans PHP vers la version 1.4.3. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X v10.6.

  • PHP

    CVE-ID : CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2531, CVE-2010-2484

    Disponible pour : Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Conséquences : vulnérabilités multiples dans PHP 5.3.1.

    Description : la mise à jour 5.3.2 de PHP résout plusieurs vulnérabilités, la plus importante pouvant conduire à l’exécution arbitraire de code. Vous trouverez des informations supplémentaires sur le site Web de PHP à l’adresse http://www.php.net

  • Samba

    Référence CVE : CVE-2010-2063

    Disponible pour : Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Conséquences : un attaquant distant non authentifié risque de provoquer un refus de service ou une exécution arbitraire de code

    Description : il existe un dépassement de mémoire tampon dans Samba. Un attaquant distant non authentifié risque de provoquer un refus de service ou l'exécution arbitraire de code par l'envoi d'un paquet conçu de manière malveillante. Ce problème est résolu par l’exécution de validations supplémentaires de paquets dans Samba.

Important : les mentions de sites Web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites Web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Dernière modification : 7 avr. 2014
Avez-vous trouvé cet article utile ?
Oui
Non
  • Last Modified: 7 avr. 2014
  • Article: HT4312
  • Views:

    758
  • Rating:
    • 100.0

    (1 réponses)

Informations supplémentaires relatives à l’assistance produit