Langues

À propos des correctifs de sécurité d’OS X Lion 10.7.2 et de la mise à jour de sécurité 2011-006

Ce document décrit les correctifs de sécurité d’OS X Lion 10.7.2 et la mise à jour de sécurité 2011-006.

Ce document détaille les correctifs de sécurité d’OS X Lion 10.7.2 et la mise à jour de sécurité 2011-006, que vous pouvez télécharger et installer par l’intermédiaire de Mise à jour de logiciels ou depuis la page Téléchargements du site d’assistance Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour obtenir des informations sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
 

OS X Lion 10.7.2 et mise à jour de sécurité 2011-006

  • Apache

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : Apache présente plusieurs vulnérabilités.

    Description : la mise à jour 2.2.20 d’Apache résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner un refus de service. CVE-2011-0419 n’affecte pas les systèmes OS X Lion. Pour obtenir des informations supplémentaires, consultez le site Web d’Apache à l’adresse http://httpd.apache.org/.

    Référence CVE

    CVE-2011-0419

    CVE-2011-3192

  • Coupe-feu d’application

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : l’exécution d’un fichier binaire portant un nom malveillant peut entraîner une exécution arbitraire de code avec des privilèges élevés.

    Description : la journalisation de débogage du coupe-feu d’application présente une vulnérabilité au niveau de la chaîne de format.

    Référence CVE

    CVE-2011-0185 : rapporteur anonyme

  • ATS

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : l’affichage ou le téléchargement d’un document contenant une police intégrée malveillante peut entraîner une exécution arbitraire de code.

    Description : la gestion de polices Type 1 dans ATS présente un problème de signe. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3437

  • ATS

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : l’affichage ou le téléchargement d’un document contenant une police intégrée malveillante peut entraîner une exécution arbitraire de code.

    Description : la gestion de polices Type 1 dans ATS présente un problème d’accès mémoire hors limites. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0229 : Will Dormann du CERT/CC.

  • ATS

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : les applications qui utilisent l’interface API ATSFontDeactivate peuvent être vulnérables à l’interruption inopinée d’une application ou à une exécution arbitraire de code.

    Description : l’interface API ATSFontDeactivate présente un problème de dépassement de mémoire tampon.

    Référence CVE

    CVE-2011-0230 : Steven Michaud de Mozilla

  • BIND

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : BIND 9.7.3 présente plusieurs vulnérabilités.

    Description : BIND 9.7.3 présente plusieurs problèmes de refus de service. La mise à jour de BIND vers la version 9.7.3-P3 permet de résoudre ces problèmes.

    Référence CVE

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : BIND présente plusieurs vulnérabilités.

    Description : BIND présente plusieurs problèmes de refus de service. La mise à jour de BIND vers la version 9.6-ESV-R4-P3 permet de résoudre ces problèmes.

    Référence CVE

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Politique de fiabilité des certificats

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : des certificats racines ont été mis à jour.

    Description : plusieurs certificats de confiance ont été ajoutés à la liste de racines système. Plusieurs certificats ont été mis à jour avec leur version la plus récente. L’application Keychain Access permet de consulter la liste complète des racines système reconnues.

  • CFNetwork

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : il arrive que Safari stocke des cookies qui ne devraient pas être acceptés.

    Description : la gestion par CFNetwork des règles en matière de cookies présente un problème de synchronisation. Les préférences relatives aux cookies de Safari risquent de ne pas être respectées, permettant ainsi à certains sites Web de configurer des cookies qui sont normalement bloqués lorsque la préférence est appliquée. Cette mise à jour résout le problème par une gestion améliorée du stockage des cookies.

    Référence CVE

    CVE-2011-0231 : Martin Tessarek, Steve Riggins de Geeks R Us, Justin C. Walker et Stephen Creswell

  • CFNetwork

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : la consultation de sites Web malveillants peut provoquer la divulgation d’informations confidentielles.

    Description : la gestion des cookies HTTP par CFNetwork présente un problème. En cas d’accès à une URL HTTP ou HTTPS malveillante, CFNetwork peut envoyer à tort les cookies d’un domaine à un serveur extérieur à ce domaine. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3246 : Erling Ellingsen de Facebook.

  • CoreFoundation

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : la visualisation d’un site Web ou d’un courrier électronique malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion par CoreFoundation de la création de jetons pour des chaînes de caractères présente un problème de corruption de la mémoire. Ce problème n’affecte pas les systèmes OS X Lion. Cette mise à jour résout le problème par la vérification améliorée des limites.

    Référence CVE

    CVE-2011-0259 : Apple

  • CoreMedia

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : la consultation d’un site Web malveillant peut entraîner la divulgation de données vidéo issues d’un autre site.

    Description : la gestion par CoreMedia des redirections intersites présente un problème d’origines multiples. Vous pouvez résoudre ce problème en procédant à un meilleur suivi de l’origine.

    Référence CVE

    CVE-2011-0187 : Nirankush Panchbhai et Microsoft Vulnerability Research (MSVR).

  • CoreMedia

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion des fichiers vidéo QuickTime présente plusieurs problèmes de corruption de la mémoire. Ces problèmes n’affectent pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0224 : Apple

  • CoreProcesses

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : une personne disposant d’un accès physique à un système peut contourner partiellement le verrouillage de l’écran.

    Description : une fenêtre système, telle qu’une invite de mot de passe VPN, qui est apparue alors que l’écran était verrouillé peut accepter des saisies au clavier malgré le verrouillage de l’écran. Ce problème est résolu en empêchant les fenêtres système de demander des saisies au clavier lorsque l’écran est verrouillé. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-0260 : Clint Tseng de l’Université de Washington, Michael Kobb et Adam Kemp

  • CoreStorage

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : la conversion en FileVault n’efface pas toutes les données existantes.

    Description : après l’activation de FileVault, environ 250 Mo de données non chiffrées sont laissés dans une zone inutilisée du disque au début du volume. Seules les données présentes sur le volume avant l’activation de FileVault sont demeurées non chiffrées. Ce problème est résolu en supprimant cette zone lors de l’activation de FileVault, ainsi que lors de la première utilisation d’un volume chiffré touché par ce problème. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3212 : Judson Powers d’ATC-NY

  • Systèmes de fichiers

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : il est possible qu’un attaquant disposant d’une position privilégiée sur le réseau manipule des certificats du serveur HTTPS et provoque la divulgation d’informations sensibles.

    Description : la gestion des volumes WebDAV sur les serveurs HTTPS présente un problème. Si le serveur présente une chaîne de certificat qui ne peut pas être vérifiée automatiquement, un avertissement s’affiche et la connexion est interrompue. Si l’utilisateur clique sur le bouton Continuer dans la boîte de dialogue d’avertissement, un certificat quelconque est accepté lors de la connexion suivante à ce serveur. Il est possible qu’un attaquant disposant d’une position privilégiée sur le réseau manipule la connexion pour obtenir des informations sensibles ou effectuer des actions sur le serveur au nom de l’utilisateur. Cette mise à jour résout le problème en vérifiant que le certificat reçu lors de la deuxième connexion est identique à celui présenté initialement à l’utilisateur.

    Référence CVE

    CVE-2011-3213 : Apple

  • IOGraphics

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : il est possible qu’une personne disposant d’un accès physique puisse contourner le verrouillage de l’écran.

    Description : le verrouillage de l’écran présente un problème en cas d’utilisation avec des moniteurs Apple Cinema Display. Lorsqu’un mot de passe est requis pour sortir du mode veille, il est possible qu’une personne disposant d’un accès physique puisse accéder au système sans saisir de mot de passe si le système est en mode de suspension d’activité du moniteur. Cette mise à jour résout le problème en s’assurant que le verrouillage de l’écran est correctement activé en mode de suspension d’activité du moniteur. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-3214 : Apple

  • Serveur iChat

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : il est possible qu’un attaquant à distance provoque une consommation excessive des ressources système par le serveur Jabber.

    Description : la gestion des entités externes XML dans jabberd2, un serveur utilisé pour le protocole XMPP (Extensible Messaging and Presence Protocol), présente un problème. jabberd2 développe les entités externes dans les requêtes entrantes. Les attaquants peuvent ainsi consommer très rapidement les ressources système, empêchant les utilisateurs légitimes du serveur d’y accéder. Cette mise à jour résout le problème en désactivant l’extension des entités dans les requêtes entrantes.

    Référence CVE

    CVE-2011-1755

  • Noyau

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : il est possible qu’une personne disposant d’un accès physique puisse accéder au mot de passe de l’utilisateur.

    Description : une erreur de logique dans la protection DMA du noyau autorise l’accès direct à la mémoire FireWire à l’ouverture de la fenêtre de connexion, au démarrage et à la fermeture, mais pas en cas de verrouillage de l’écran. Cette mise à jour résout le problème en empêchant l’accès direct à la mémoire FireWire dans tous les états lorsque l’utilisateur n’est pas connecté.

    Référence CVE

    CVE-2011-3215 : Passware, Inc.

  • Noyau

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : il est possible qu’un utilisateur ne disposant pas de privilèges puisse supprimer les fichiers d’un autre utilisateur dans un répertoire partagé.

    Description : la gestion par le noyau des suppressions de fichiers dans les répertoires contenant le bit de rappel présente une erreur de logique.

    Référence CVE

    CVE-2011-3216 : Gordon Davisson de Crywolf, Linc Davis, R. Dormer et Allan Schmid et Oliver Jeckel de brainworks Training

  • libsecurity

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : la visualisation d’un site Web ou d’un courrier électronique malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : l’analyse d’une extension de liste de révocation des certificats non standard présente un problème de traitement des erreurs.

    Référence CVE

    CVE-2011-3227 : Richard Godbee de Virginia Tech

  • Mailman

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : Mailman 2.1.14 présente plusieurs vulnérabilités.

    Description : Mailman 2.1.14 présente plusieurs problèmes de scriptage intersites. Ces problèmes sont résolus par une amélioration de l’encodage des caractères dans la sortie HTML. Des informations complémentaires sont disponibles sur le site de Mailman à l’adresse http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0707

  • MediaKit

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : l’ouverture d’une image disque malveillante peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion d’images disque présente plusieurs problèmes de corruption de la mémoire. Ces problèmes n’affectent pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-3217 : Apple

  • Open Directory

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : n’importe quel utilisateur peut lire les données de mot de passe d’un autre utilisateur.

    Description : Open Directory présente un problème de contrôle d’accès. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3435 : Arek Dreyer de Dreyer Network Consultants, Inc, et Patrick Dunstan de defenseindepth.net

  • Open Directory

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : un utilisateur authentifié peut modifier le mot de passe du compte sans saisir le mot de passe actuel.

    Description : Open Directory présente un problème de contrôle d’accès. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3436 : Patrick Dunstan de defenceindepth.net

  • Open Directory

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : un utilisateur peut se connecter sans mot de passe.

    Description : lorsque Open Directory est lié à un serveur LDAPv3 à l’aide de RFC2307 ou de mappages personnalisés, de sorte qu’il n’y a pas d’attribut AuthenticationAuthority pour un utilisateur, un utilisateur LDAP peut être autorisé à se connecter sans mot de passe. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3226 : Jeffry Strunk de l’Université du Texas à Austin, Steven Eppler de la Colorado Mesa University, Hugh Cole-Baker, et Frederic Metoz de l’Institut de Biologie Structurale

  • PHP

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion de polices Type 1 par FreeType présente un problème de signe. Ce problème est résolu par la mise à jour de FreeType vers la version 2.4.6. Il n’affecte pas les systèmes antérieurs à OS X Lion. Pour obtenir des informations supplémentaires, consultez le site FreeType à l’adresse http://www.freetype.org/.

    Référence CVE

    CVE-2011-0226

  • PHP

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : la version 1.4.3 de libpng présente plusieurs vulnérabilités.

    Description : la mise à jour 1.5.4 de libpng résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner une exécution arbitraire de code. Pour obtenir des informations supplémentaires, consultez le site Web de libpng à l’adresse http://www.libpng.org/pub/png/libpng.html.

    Référence CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : PHP 5.3.4 présente plusieurs vulnérabilités.

    Description : la mise jour 5.3.6 de PHP résout plusieurs vulnérabilités, la plus grave étant susceptible d’entraîner une exécution arbitraire de code. Ces problèmes n’affectent pas les systèmes OS X Lion. Pour obtenir des informations supplémentaires, consultez le site Web de PHP à l’adresse http://www.php.net.

    Référence CVE

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : Postfix présente plusieurs vulnérabilités.

    Description : la mise jour 2.5.14 de Postfix résout plusieurs vulnérabilités, la plus grave étant susceptible de permettre à un attaquant disposant d’une position privilégiée sur le réseau de manipuler la session de courrier électronique afin d’obtenir des informations confidentielles à partir du trafic chiffré. Ces problèmes n’affectent pas les systèmes OS X Lion. Pour obtenir des informations supplémentaires, consultez le site Web de Postfix à l’adresse http://www.postfix.org/announcements/postfix-2.7.3.html.

    Référence CVE

    CVE-2011-0411

    CVE-2011-1720

  • python

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : python présente plusieurs vulnérabilités.

    Description : python présente plusieurs vulnérabilités, la plus grave étant susceptible d’entraîner une exécution arbitraire de code. Cette mise à jour résout les problèmes en apportant des correctifs à partir du projet python. Pour obtenir des informations supplémentaires, consultez le site de python à l’adresse http://www.python.org/download/releases/.

    Référence CVE

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion des fichiers vidéo par QuickTime présente plusieurs problèmes de corruption de la mémoire.

    Référence CVE

    CVE-2011-3228 : Apple

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion des atomes STSC dans les fichiers vidéo QuickTime présente un dépassement de mémoire tampon. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0249 : Matt 'j00ru' Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion des atomes STSS dans les fichiers vidéo QuickTime présente un dépassement de mémoire tampon. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0250 : Matt 'j00ru' Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion des atomes STSZ dans les fichiers vidéo QuickTime présente un dépassement de mémoire tampon. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0251 : Matt 'j00ru' Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion des atomes STTS dans les fichiers vidéo QuickTime présente un dépassement de mémoire tampon. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0252 : Matt 'j00ru' Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : un attaquant disposant d’une position privilégiée sur le réseau peut injecter un script dans le domaine local lors de la visualisation d’un modèle HTML.

    Description : l’exportation « Enregistrer pour le Web » de QuickTime Player présente un problème de scriptage intersites. Les fichiers modèles HTML générés par cette fonction font référence à un fichier de script provenant d’une source non chiffrée. Un attaquant disposant d’une position privilégiée sur le réseau peut injecter des scripts malveillants dans le domaine local si l’utilisateur visualise un fichier modèle au niveau local. Ce problème est résolu en supprimant la référence à un script en ligne. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-3218 : Aaron Sigel de vtty.com

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion par QuickTime des fichiers vidéo encodés au format H.264 présente un dépassement de mémoire tampon.

    Référence CVE

    CVE-2011-3219 : Damian Put en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la divulgation du contenu de la mémoire.

    Description : la gestion par QuickTime des gestionnaires de données URL dans les fichiers vidéo présente un problème d’accès mémoire non initialisé.

    Référence CVE

    CVE-2011-3220 : Luigi Auriemma en collaboration avec Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion par QuickTime de la hiérarchie des atomes dans un fichier vidéo présente un problème de mise en œuvre.

    Référence CVE

    CVE-2011-3221 : chercheur anonyme en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : l’ouverture d’un fichier FlashPix malveillant peut entraîner la fermeture inopinée d’une application ou une exécution arbitraire de code.

    Description : la gestion des fichiers FlashPix par QuickTime présente un dépassement de mémoire tampon.

    Référence CVE

    CVE-2011-3222 : Damian Put en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion des fichiers FLIC par QuickTime présente un dépassement de mémoire tampon.

    Référence CVE

    CVE-2011-3223 : Matt 'j00ru' Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • Serveur de fichiers SMB

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : un utilisateur invité peut parcourir les dossiers partagés.

    Description : le serveur de fichiers SMB présente un problème de contrôle d’accès. La désactivation de l’accès invité à l’enregistrement du point de partage d’un dossier empêche l’utilisateur « _unknown » de parcourir le point de partage mais pas les invités (utilisateur « nobody »). Ce problème est résolu en appliquant le contrôle d’accès à l’utilisateur invité. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3225

  • Tomcat

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : Tomcat 6.0.24 présente plusieurs vulnérabilités.

    Description : la mise à jour 6.0.32 de Tomcat résout plusieurs vulnérabilités, la plus importante étant susceptible de provoquer une attaque de scriptage intersite. Tomcat est fourni uniquement sur les systèmes Mac OS X Server. Ce problème n’affecte pas les systèmes OS X Lion. Pour obtenir des informations supplémentaires, consultez le site de Tomcat à l’adresse http://tomcat.apache.org/.

    Référence CVE

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Documentation de l’utilisateur

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : un attaquant disposant d’une position privilégiée sur le réseau peut manipuler le contenu de l’aide de l’App Store et provoquer une exécution arbitraire de code.

    Description : le contenu de l’aide de l’App Store a été mis à jour sur HTTP. Cette mise à jour résout le problème grâce à l’actualisation du contenu de l’aide de l’App Store sur HTTPS. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-3224 : Aaron Sigel de vtty.com et Brian Mastenbrook

  • Serveur web

    Disponible pour : Mac OS X Server 10.6.8

    Conséquence : les clients peuvent ne pas avoir accès à des services Web exigeant une authentification Digest.

    Description : un problème au niveau de la gestion de l’authentification HTTP Digest a été résolu. Les utilisateurs peuvent se voir refuser l’accès à des ressources du serveur, alors que la configuration de celui-ci aurait dû leur autoriser cet accès. Ce problème ne constitue pas un risque pour la sécurité et a été résolu afin de faciliter l’utilisation de mécanismes d’authentification plus robustes. Les systèmes exécutant OS X Lion Server ne sont pas affectés par ce problème.

  • X11

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1

    Conséquence : libpng présente plusieurs vulnérabilités.

    Description : libpng présente plusieurs vulnérabilités, la plus grave étant susceptible d’entraîner une exécution arbitraire de code. Ces problèmes sont résolus par la mise à jour de libpng vers la version 1.5.4 sur les systèmes OS Lion et vers la version 1.2.46 sur les systèmes Mac OS X 10.6. Pour obtenir des informations supplémentaires, consultez le site Web de libpng à l’adresse http://www.libpng.org/pub/png/libpng.html.

    Référence CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

Important : les mentions de sites Web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites Web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Dernière modification : 6 juin 2012
Avez-vous trouvé cet article utile ?
Oui
Non
  • Last Modified: 6 juin 2012
  • Article: HT5002
  • Views:

    861
  • Rating:
    • 100.0

    (1 réponses)

Informations supplémentaires relatives à l’assistance produit