Langues

À propos du contenu sécuritaire de Safari 5.0.4

Ce document décrit le contenu sécuritaire de Safari 5.0.4.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour obtenir des informations sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez « Mises à jour de la sécurité Apple. »

Safari 5.0.4

  • ImageIO

    Disponible pour : Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : vulnérabilités multiples dans libpng

    Description : la mise à jour 1.4.3 de libpng résout plusieurs vulnérabilités, la plus grave pouvant entraîner l’exécution arbitraire de code. Pour les systèmes Mac OS X 10.6, ce problème a été résolu dans Mac OS X 10.6.5. Pour les systèmes Mac OS X 10.5, ce problème a été résolu dans la mise à jour de sécurité 010-007. Pour obtenir des informations supplémentaires, consultez le site Web de libpng à l’adresse http://www.libpng.org/pub/png/libpng.html.

    Référence CVE

    CVE-2010-1205

    CVE-2010-2249

  • ImageIO

    Disponible pour : Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : la visite d’un site Web malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : la gestion par ImageIO des images JPEG présente un dépassement de la mémoire tampon. La consultation d’un site Web conçu de manière malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Référence CVE

    CVE-2011-0170 : Andrzej Dyjak qui travaille avec iDefense VCP

  • ImageIO

    Disponible pour : Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : l’affichage d’une image XBM malveillante peut provoquer la fermeture inopinée de l'application ou l'exécution arbitraire de code

    Description : un problème de dépassement d'entier existait au niveau de la gestion par ImageIO des images XBM L’affichage d’une image XBM malveillante peut provoquer la fermeture inopinée de l'application ou l'exécution arbitraire de code.

    Référence CVE

    CVE-2011-0181 : Harry Sintonen

  • ImageIO

    Disponible pour : Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : l’affichage d’une image TIFF malveillante peut conduire à un blocage inattendu des applications ou à l’exécution de code arbitraire

    Description : la gestion par libTIFF des images TIFF encodées en JPEG présente un dépassement de la mémoire tampon. L’affichage d’une image TIFF malveillante peut entraîner un blocage inattendu des applications ou l’exécution arbitraire de code.

    Référence CVE

    CVE-2011-0191 : Apple

  • ImageIO

    Disponible pour : Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : l’affichage d’une image TIFF malveillante peut conduire à un blocage inattendu des applications ou à l’exécution arbitraire de code

    Description : la gestion par libTIFF des images TIFF encodées en CCITT Groupe 4 présente un dépassement de la mémoire tampon. L’affichage d’une image TIFF malveillante peut entraîner un blocage inattendu des applications ou l’exécution arbitraire de code.

    Référence CVE

    CVE-2011-0192 : Apple

  • libxml

    Disponible pour : Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : la consultation d’un site Web malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : un problème double se présentait dans la gestion libxml des expressions XPath. La visite d’un site Web malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Référence CVE

    CVE-2010-4494 : Yang Dingning de NCNIPC, Graduate University of Chinese Academy of Sciences

  • libxml

    Disponible pour : Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : la consultation d’un site Web construit de manière malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

    Description : la gestion des Xpath par libxml présentait un problème de corruption de la mémoire. La consultation d’un site Web conçu de manière malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Référence CVE

    CVE-2010-4008 : Bui Quang Minh de Bkis (www.bkis.com)

  • WebKit

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.5 ou version ultérieure, Mac OS X Server 10.6.5 ou version ultérieure, Windows 7, Vista, XP SP2 ou version ultérieure.

    Conséquence : la consultation d’un site Web construit de manière malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

    Description : WebKit présente plusieurs problèmes de corruption de mémoire. La consultation d’un site Web conçu de manière malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Référence CVE

    CVE-2010-1824 : kuzzcc, et wushi de team509 qui travaille avec Zero Day Initiative de TippingPoint

    CVE-2011-0111 : Sergey Glazunov

    CVE-2011-0112 : Yuzo Fujishima de Google Inc.

    CVE-2011-0113 : Andreas Kling de Nokia

    CVE-2011-0114 : Chris Evans de l’équipe de sécurité de Google Chrome

    CVE-2011-0115 : J23 qui travaille avec Zero Day Initiative de TippingPoint et Emil A Eklund de Google, Inc

    CVE-2011-0116 : chercheur anonyme travaillant avec Zero Day Initiative de TippingPoint

    CVE-2011-0117 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0118 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0119 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0120 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0121 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0122 : Slawomir Blazek

    CVE-2011-0123 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0124 : Yuzo Fujishima de Google Inc.

    CVE-2011-0125 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0126 : Mihai Parparita de Google, Inc.

    CVE-2011-0127 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0128 : David Bloom

    CVE-2011-0129 : Famlam

    CVE-2011-0130 : Apple

    CVE-2011-0131 : wushi de team509

    CVE-2011-0132 : wushi de team509 qui travaille avec Zero Day Initiative de TippingPoint

    CVE-2011-0133 : wushi de team509 qui travaille avec Zero Day Initiative de TippingPoint

    CVE-2011-0134 : Jan Tosovsky

    CVE-2011-0135 : rapporteur anonyme

    CVE-2011-0136 : Sergey Glazunov

    CVE-2011-0137 : Sergey Glazunov

    CVE-2011-0138 : kuzzcc

    CVE-2011-0139 : kuzzcc

    CVE-2011-0140 : Sergey Glazunov

    CVE-2011-0141 : Chris Rohlf de Matasano Security

    CVE-2011-0142 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0143 : Slawomir Blazek et Sergey Glazunov

    CVE-2011-0144 : Emil A. Eklund de Google, Inc.

    CVE-2011-0145 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0146 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0147 : Dirk Schulze

    CVE-2011-0148 : Michal Zalewski de Google, Inc.

    CVE-2011-0149 : wushi de team509 qui travaille avec Zero Day Initiative de TippingPoint, et SkyLined de l’équipe de sécurité de Google Chrome

    CVE-2011-0150 : Michael Gundlach de safariadblock.com

    CVE-2011-0151 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0152 : SkyLined de l’équipe de sécurité de Google Chrome

    CVE-2011-0153 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0154 : chercheur anonyme qui travaille avec Zero Day Initiative de TippingPoint

    CVE-2011-0155 : Aki Helin d’OUSPG

    CVE-2011-0156 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0165 : Sergey Glazunov

    CVE-2011-0168 : Sergey Glazunov

  • WebKit

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.5 ou versions ultérieures, Mac OS X Server 10.6.5 ou versions ultérieures, Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : les informations d’authentification HTTP de base risquent d’être divulguées par inadvertance sur un autre site

    Description : si un site utilise l’authentification de base HTTP et renvoie vers un autre site, les informations d’authentification peuvent être également envoyées sur cet autre site. Ce problème est résolu par une meilleure gestion des informations d’authentification.

    Référence CVE

    CVE-2011-0160 : McIntosh Cooey de Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn de 1111 Internet LLC qui travaille avec CERT, et Paul Hinze de Braintree

  • WebKit

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.5 ou versions ultérieures, Mac OS X Server 10.6.5 ou versions ultérieures, Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : la consultation d’un site Web construit de manière malveillante peut entraîner des déclarations de style intersite

    Description : la gestion par WebKit de l’accesseur Attr.style présentait un problème lié à des origines multiples. La visite d’un site malveillant peut permettre au site d’intégrer des feuilles de styles CSS dans d’autres documents. Ce problème est résolu par la suppression de l’accesseur Attr.style.

    Référence CVE

    CVE-2011-0161 : Apple

  • WebKit

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.5 ou versions ultérieures, Mac OS X Server 10.6.5 ou versions ultérieures, Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : un site Web construit de manière malveillante risque d’empêcher d’autres sites d’effectuer une requête sur certaines ressources

    Description : la gestion par WebKit des ressources en cache présente un problème d’empoisonnement du cache. Un site Web malveillant risque d’empêcher d’autres sites d’effectuer une requête sur certaines ressources. Ce problème est résolu par un meilleur contrôle des types.

    Référence CVE

    CVE-2011-0163 : Apple

  • WebKit

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.5 ou versions ultérieures, Mac OS X Server 10.6.5 ou versions ultérieures, Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : la consultation d’un site Web malveillant et le glisser-déposer de contenu sur la page risquent de provoquer une divulgation d’informations

    Description : la gestion par WebKit du glisser-déposer HTML5 présente un problème lié à des origines multiples. La consultation d’un site Web malveillant et le glisser-déposer de contenu sur la page risquent de provoquer une divulgation d’informations à partir d’un autre site. Ce problème est résolu par l’interdiction d’effectuer un glisser-déposer à partir d’origines multiples.

    Référence CVE

    CVE-2011-0166 : Michal Zalewski de Google Inc.

  • WebKit

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.5 ou versions ultérieures, Mac OS X Server 10.6.5 ou versions ultérieures, Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : la consultation d’un site Web malveillant risque de provoquer l’envoi des fichiers à partir du système de l’utilisateur vers un serveur distant

    Description : la gestion par WebKit des fenêtres présente un problème lié à des origines multiples. La consultation d’un site Web malveillant risque de provoquer l’envoi des fichiers à partir du système de l’utilisateur vers un serveur distant. Ce problème est résolu par l’amélioration de la fonction de suivi des origines.

    Référence CVE

    CVE-2011-0167 : Aaron Sigel de vtty.com

  • WebKit

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.5 ou versions ultérieures, Mac OS X Server 10.6.5 ou versions ultérieures, Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : la consultation d’un site Web malveillant tout en utilisant l’inspecteur Web risque de provoquer une attaque de type Cross-site scripting

    Description : la gestion par WebKit de la propriété window.console_inspectorCommandLineAPI présente un problème lié à des origines multiples. La consultation d’un site Web malveillant tout en utilisant l’inspecteur Web risque de provoquer une attaque de type Cross-site scripting. Ce problème est résolu par l’interdiction d’accéder à window.console._inspectorCommandLineAPI à partir du Web.

    Référence CVE

    CVE-2011-0169 : Apple

Important : les mentions de sites Web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites Web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Dernière modification : 20 juin 2012
Avez-vous trouvé cet article utile ?
Oui
Non
Not helpful Somewhat helpful Helpful Very helpful Solved my problem
Imprimer cette page
  • Dernière modification : 20 juin 2012
  • Article : HT4566
  • Visites:

    157265
  • Note :
    • 100.0

    (7 réponses)

Informations supplémentaires relatives à l’assistance produit