Langues

À propos des correctifs de sécurité d’OS X Lion 10.7.3 et de la mise à jour de sécurité 2012-001

Ce document décrit les correctifs de sécurité d’OS X Lion 10.7.3 et la mise à jour de sécurité 2012-001.

Ce document détaille les correctifs de sécurité d’OS X Lion 10.7.3 et la mise à jour de sécurité 2012-001, que vous pouvez télécharger et installer par l’intermédiaire de Mise à jour de logiciels ou depuis la page Téléchargements du site d’assistance Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour obtenir des informations sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
 

OS X Lion 10.7.3 et mise à jour de sécurité 2012-001

  • Carnet d’adresses

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : un attaquant possédant une position privilégiée sur le réseau est susceptible d’intercepter des données CardDAV.

    Description : le carnet d’adresses prend en charge le protocole SSL (Secure Sockets Layer) pour l’accès aux donnés CardDAV. En raison d’un problème de rétrogradation, le carnet d’adresses essaie de procéder à une connexion non-chiffrée lorsqu’une connexion chiffrée échoue. Un attaquant possédant une position privilégiée sur le réseau est susceptible de tirer profit de la situation pour intercepter des données CardDAV. Pour résoudre ce problème, ne revenez pas à une connexion non-chiffrée sans l’accord de l’utilisateur.

    Référence CVE

    CVE-2011-3444 : Bernard Desruisseaux d’Oracle Corporation.

  • Apache

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : Apache présente plusieurs vulnérabilités.

    Description : la mise à jour 2.2.21 d’Apache résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner un refus de service. Pour obtenir des informations supplémentaires, consultez le site Web d’Apache à l’adresse http://httpd.apache.org/.

    Référence CVE

    CVE-2011-3348

  • Apache

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : il est possible qu’un attaquant soit en mesure de déchiffrer des données protégées par le protocole SSL.

    Description : la confidentialité des protocoles SSL 3.0 et TLS 1.0 est sujette à des attaques lorsqu’une suite de chiffrement utilise un chiffrement de bloc en mode d’enchaînement des blocs. Apache a désactivé la contre-mesure « fragment vide » qui permettait d’empêcher ces attaques d’aboutir. Pour résoudre ce problème, utilisez le nouveau paramètre de configuration pour contrôler les contre-mesures et les activer par défaut.

    Référence CVE

    CVE-2011-3389

  • ATS

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’ouverture d’une police malveillante dans le livre des polices peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : l’ouverture des fichiers de police dans le livre des polices par l’intermédiaire d’AST présente un problème de gestion de la mémoire.

    Référence CVE

    CVE-2011-3446 : Will Dormann du CERT/CC.

  • CFNetwork

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la consultation de sites Web malveillants peut entraîner la divulgation d’informations confidentielles.

    Description : la gestion des URL défectueuses par CFNetwork présente un problème. Il est probable que CFNetwork envoie une requête à un serveur d’origine incorrect lorsque vous tentez d’accéder à une URL malveillante. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3246 : Erling Ellingsen de Facebook.

  • CFNetwork

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la consultation de sites Web malveillants peut entraîner la divulgation d’informations confidentielles.

    Description : la gestion des URL défectueuses par CFNetwork présente un problème. Il est probable que CFNetwork envoie des en-têtes de requêtes inattendus lorsque vous tentez d’accéder à une URL malveillante. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3447 : Erling Ellingsen de Facebook.

  • ColorSync

    Disponible sous : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : l’affichage d’une image malveillante avec un profil ColorSync intégré peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : un dépassement d’entier se produit lors de la gestion des images contenant un profil ColorSync intégré, pouvant conduire à un dépassement de la mémoire tampon. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0200 : binaryproof en collaboration avec Zero Day Initiative de TippingPoint.

  • CoreAudio

    Disponible sous : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : la lecture de contenu audio malveillant peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des flux audio à encodage audio avancé présente un problème de dépassement de la mémoire tampon. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-3252 : Luigi Auriemma en collaboration avec Zero Day Initiative de TippingPoint.

  • CoreMedia

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la lecture d’un fichier vidéo malveillant peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion de fichiers vidéo encodés en H.264 par CoreMedia présente un problème de dépassement de la mémoire tampon.

    Référence CVE

    CVE-2011-3448 : Scott Stender d’iSEC Partners.

  • CoreText

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : le téléchargement ou l’affichage d’un document contenant une police malveillante peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des fichiers de police présente un problème d’utilisation ultérieure libre.

    Référence CVE

    CVE-2011-3449 : Will Dormann du CERT/CC.

  • CoreUI

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la consultation d’un site Web malveillant peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des longs URL présente un problème d’allocation de pile non-limitée. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3450 : Ben Syverson.

  • curl

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : il est possible qu’un serveur à distance puisse se faire passer pour des clients par l’intermédiaire de requêtes GSSAPI.

    Description : lors de l’identification GSSAPI, libcurl procède toujours à la délégation des informations d’identification. Pour résoudre ce problème, désactivez la délégation des informations d’identification GSSAPI.

    Référence CVE

    CVE-2011-2192

  • Sécurité des données

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau est susceptible d’intercepter les informations d’identification de l’utilisateur ou d’autres données sensibles.

    Description : deux autorités de certification incluses dans la liste des certificats racine de confiance ont délivré des certificats intermédiaires à DigiCert Malaysia de manière indépendante. DigiCert Malaysia a délivré des certificats comprenant des clés faibles qu’il n’est pas à même de révoquer. Un attaquant bénéficiant d’une position privilégiée sur le réseau est susceptible d’intercepter les données d’identification de l’utilisateur ou d’autres informations confidentielles destinées à un site Web doté d’un certificat délivré par DigiCert Malaysia. Pour résoudre ce problème, configurez les réglages de confiance par défaut du système de sorte à ce que les certificats de DigiCert Malaysia ne soient plus considérés comme des certificats de confiance. Nous remercions Bruce Morton d’Entrust, Inc. de nous avoir signalé ce problème.

  • dovecot

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : il est possible qu’un attaquant soit en mesure de déchiffrer des données protégées par le protocole SSL.

    Description : la confidentialité des protocoles SSL 3.0 et TLS 1.0 est sujette à des attaques lorsqu’une suite de chiffrement utilise un chiffrement de bloc en mode d’enchaînement des blocs. Dovecot a désactivé la contre-mesure « fragment vide » qui permettait d’empêcher ces attaques d’aboutir. Pour résoudre ce problème, activez les contre-mesures.

    Référence CVE

    CVE-2011-3389 : Apple.

  • filecmds

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la décompression d’un fichier compressé malveillant peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : l’outil en ligne de commande « uncompress » présente un problème de dépassement de la mémoire tampon.

    Référence CVE

    CVE-2011-2895

  • ImageIO

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’affichage d’un fichier TIFF malveillant peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des fichiers TIFF encodés en ThunderScan par libtiff présente un problème de dépassement de la mémoire tampon. Pour résoudre ce problème, mettez à jour libtiff avec la version 3.9.5.

    Référence CVE

    CVE-2011-1167

  • ImageIO

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : vulnérabilités multiples dans la version 1.5.4 de libpng

    Description : la mise à jour 1.5.5 de libpng résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner l’exécution arbitraire de code. Pour obtenir des informations supplémentaires, consultez le site Web de libpng à l’adresse http://www.libpng.org/pub/png/libpng.html.

    Référence CVE

    CVE-2011-3328

  • Partage Internet

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : il est possible qu’un réseau Wi-Fi créé via le partage Internet retourne à ses paramètres de sécurité par défaut après une mise à jour du système.

    Description : suite à une mise à jour vers une version d’OS X Lion antérieure à la version 10.7.3, il est possible que la configuration Wi-Fi créée via le partage Internet retourne à ses paramètres de sécurité par défaut. Ceci désactive le mot de passe WEP. Ce problème affecte uniquement les systèmes dont le partage Internet est activé et qui partagent leur connexion via Wi-Fi. Pour résoudre ce problème, conservez la configuration Wi-Fi en l’état lors de toute mise à jour du système.

    Référence CVE

    CVE-2011-3452 : un chercheur anonyme.

  • Libinfo

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la consultation de sites Web malveillants peut conduire à la divulgation d’informations confidentielles.

    Description : la gestion des demandes de recherche du nom d’hôte par Libinfo présente un problème. Il arrive que Libinfo renvoie des résultats incorrects pour un nom d’hôte malveillant. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3441 : Erling Ellingsen de Facebook.

  • libresolv

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : les applications utilisant la bibliothèque libresolv d’OS X peuvent se révéler vulnérables à une fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : un dépassement d’entier se produit lors de l’analyse des enregistrements de ressources DNS, entraînant une corruption de la mémoire tampon.

    Référence CVE

    CVE-2011-3453 : Ilja van Sprundel d’IOActive.

  • libsecurity

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : il est possible que certains certificats EV soient considérés comme étant de confiance bien que la racine correspondante ait été signalée comme malveillante.

    Description : le code de certificat considère un certificat racine comme étant de confiance pour la signature de certificats EV dès lors que celui-ci se trouve sur la liste des émetteurs EV, et ce même si l’utilisateur lui a assigné la mention « Ne jamais approuver » dans le trousseau. La racine n’est pas considérée comme étant de confiance pour la signature des certificats autres que les certificats EV.

    Référence CVE

    CVE-2011-3422 : Alastair Houghton.

  • OpenGL

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : les applications utilisant la mise en œuvre OpenGL d’OS X peuvent se révéler vulnérables à une fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la fonction de compilation GLSL présente plusieurs problèmes de corruption de la mémoire.

    Référence CVE

    CVE-2011-3457 : Chris Evans de l’équipe de sécurité de Google Chrome et Marc Schoenefeld du service relations de l’équipe de sécurité de Red Hat.

  • PHP

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : vulnérabilités multiples dans PHP 5.3.6.

    Description : la mise jour 5.3.8 de PHP résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner l’exécution arbitraire de code. Pour obtenir des informations supplémentaires, consultez le site Web de PHP, à l’adresse http://www.php.net.

    Référence CVE

    CVE-2011-1148

    CVE-2011-1657

    CVE-2011-1938

    CVE-2011-2202

    CVE-2011-2483

    CVE-2011-3182

    CVE-2011-3189

    CVE-2011-3267

    CVE-2011-3268

  • PHP

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’ouverture d’un fichier PDF malveillant peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion de polices Type 1 par FreeType présente un problème de corruption de mémoire. Pour résoudre ce problème, mettez à jour FreeType avec la version 2.4.7. Pour obtenir des informations supplémentaires, visitez le site Web de FreeType à l’adresse http://www.freetype.org/.

    Référence CVE

    CVE-2011-3256 : Apple.

  • PHP

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : vulnérabilités multiples dans la version 1.5.4 de libpng

    Description : la mise à jour 1.5.5 de libpng résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner l’exécution arbitraire de code. Pour obtenir des informations supplémentaires, consultez le site Web de libpng à l’adresse http://www.libpng.org/pub/png/libpng.html.

    Référence CVE

    CVE-2011-3328

  • QuickTime

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’ouverture d’un fichier malveillant encodé en MP4 peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des fichiers encodés en MP4 présente un problème d’accès mémoire non initialisé.

    Référence CVE

    CVE-2011-3458 : Luigi Auriemma et pa_kt, en collaboration avec TippingPoint’s Zero Day Initiative.

  • QuickTime

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la lecture d’un fichier vidéo malveillant peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des tables de polices incorporées dans les fichiers vidéo QuickTime présente un problème de signature.

    Référence CVE

    CVE-2011-3248 : Luigi Auriemma en collaboration avec Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la lecture d’un fichier vidéo malveillant peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des atomes rdrf dans les fichiers vidéo QuickTime présente un problème de dépassement d’un octet de la mémoire tampon.

    Référence CVE

    CVE-2011-3459 : Luigi Auriemma en collaboration avec Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’affichage d’une image JPEG2000 malveillante peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des fichiers JPEG2000 présente un problème de dépassement de la mémoire tampon.

    Référence CVE

    CVE-2011-3250 : Luigi Auriemma en collaboration avec Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : le traitement d’une image PNG malveillante peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des fichiers PNG présente un problème de dépassement de la mémoire tampon.

    Référence CVE

    CVE-2011-3460 : Luigi Auriemma en collaboration avec Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la lecture d’un fichier vidéo malveillant peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des fichiers vidéo encodés en FLC présente un problème de dépassement de la mémoire tampon.

    Référence CVE

    CVE-2011-3249 : Matt « j00ru » Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • SquirrelMail

    Disponible sous : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : vulnérabilités multiples dans SquirrelMail.

    Description : SquirrelMail est mis à jour vers la version 1.4.22 pour résoudre plusieurs vulnérabilités, la plus importante étant un problème d’attaque de script de site à site. Ce problème n’affecte pas les systèmes OS X Lion. Pour obtenir des informations supplémentaires, consultez le site Web de SquirrelMail à l’adresse http://www.SquirrelMail.org/.

    Référence CVE

    CVE-2010-1637

    CVE-2010-2813

    CVE-2010-4554

    CVE-2010-4555

    CVE-2011-2023

  • Subversion

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’accès à un dépôt Subversion peut entraîner la divulgation d’informations confidentielles.

    Description : la mise à jour 1.6.17 de Subversion résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner la divulgation d’informations confidentielles. Pour obtenir des informations supplémentaires, consultez le site Web de Subversion à l’adresse http://subversion.tigris.org/.

    Référence CVE

    CVE-2011-1752

    CVE-2011-1783

    CVE-2011-1921

  • Time Machine

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : il est possible qu’un attaquant à distance accède aux nouvelles sauvegardes créées par le système de l’utilisateur.

    Description : l’utilisateur peut désigner la Time Capsule ou le volume AFP à distance sur lequel les sauvegardes Time Machine sont enregistrées. Time Machine n’a pas vérifié que le même appareil a été utilisé pour les sauvegardes ultérieures. Ainsi, tout attaquant capable d’imiter le volume à distance peut accéder aux nouvelles sauvegardes créées par le système de l’utilisateur. Pour résoudre ce problème, vérifiez l’identifiant unique associé à un disque pour les opérations de sauvegarde.

    Référence CVE

    CVE-2011-3462 : Michael Roitzsch de la Technische Universität Dresden.

  • Tomcat

    Disponible sous : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : vulnérabilités multiples dans Tomcat 6.0.32.

    Description : la mise à jour 6.0.33 de Tomcat résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner la divulgation d’informations confidentielles. Tomcat est fourni uniquement sur les systèmes Mac OS X Server. Ce problème n’affecte pas les systèmes OS X Lion. Pour obtenir des informations supplémentaires, consultez le site de Tomcat à l’adresse http://tomcat.apache.org/.

    Référence CVE

    CVE-2011-2204

  • Partage WebDAV

    Disponible sous : OS X Lion Server 10.7 à 10.7.2.

    Conséquence : il est possible que des privilèges d’administrateur soient attribués aux utilisateurs locaux.

    Description : la gestion de l’identification des utilisateurs par WebDAV Sharing présente un problème. Il est possible que la présence d’un compte d’utilisateur valide sur le serveur ou qu’un de ses répertoires liés entraîne l’exécution arbitraire de code avec les privilèges système. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3463 : Gordon Davisson de Crywolf.

  • Webmail

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’affichage d’un courrier électronique malveillant peut conduire à la divulgation du contenu de ce message.

    Description : la gestion des courriers électroniques présente une vulnérabilité aux attaques de script entre sites. Pour résoudre ce problème, mettez à jour Roundcube Webmail avec la version 0.6. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion. Pour obtenir des informations supplémentaires, consultez le site Web de Roundcube à l’adresse http://trac.roundcube.net/.

    Référence CVE

    CVE-2011-2937

  • X11

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’ouverture d’un fichier PDF malveillant peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion de polices Type 1 par FreeType présente un problème de corruption de mémoire. Pour résoudre ce problème, mettez à jour FreeType avec la version 2.4.7. Pour obtenir des informations supplémentaires, visitez le site Web de FreeType à l’adresse http://www.freetype.org/.

    Référence CVE

    CVE-2011-3256 : Apple.

Important : les mentions de sites Web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites Web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Dernière modification : 5 juin 2012
Avez-vous trouvé cet article utile ?
Oui
Non
  • Last Modified: 5 juin 2012
  • Article: HT5130
  • Views:

    1454
  • Rating:
    • 100.0

    (1 réponses)

Informations supplémentaires relatives à l’assistance produit