Langues

À propos des correctifs de sécurité d’OS X Mountain Lion 10.8.3 et de la mise à jour de sécurité 2013-001

Ce document détaille les correctifs de sécurité d’OS X Mountain Lion 10.8.3 et la mise à jour de sécurité 2013-001, que vous pouvez télécharger et installer via Mise à jour de logiciels ou depuis la page Téléchargements du site d’assistance Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour obtenir des informations sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

Remarque : OS X Mountain Lion 10.8.3 comprend le contenu de Safari 6.0.3. Pour obtenir des informations supplémentaires, consultez l’article À propos des correctifs de sécurité de Safari 6.0.3.

OS X Mountain Lion 10.8.3 et mise à jour de sécurité 2013-001

  • Apache

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.

    Conséquence : il est possible qu’un attaquant soit en mesure d’accéder aux répertoires protégés par une authentification HTTP sans utiliser les identifiants nécessaires.

    Description : la gestion des URI composés de séquences de caractères Unicode négligeables présentait un problème de normalisation. Ce problème a été résolu par la mise à jour du module mod_hfs_apple, qui empêche désormais d’accéder aux URI composés de séquences de caractères Unicode négligeables.

    Référence CVE

    CVE-2013-0966 : Clint Ruoho de Laconic Security.

  • CoreTypes

    Disponible pour : OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.

    Conséquence : il est possible qu’une application Java Web Start s’ouvre lors de la consultation d’un site Web malveillant, même si le module Java est désactivé.

    Description : les applications Java Web Start s’exécutent même si le module Java est désactivé. Le problème a été résolu par la suppression des fichiers JNLP de la liste des types de fichiers CoreTypes fiables. Ainsi, l’application Web Start ne s’exécute pas, à moins que l’utilisateur ne l’ouvre dans le répertoire Téléchargements.

    Référence CVE

    CVE-2013-0967

  • Composants internationaux pour Unicode

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.

    Conséquence : la consultation d’un site Web malveillant peut entraîner une attaque de scriptage intersites.

    Description : un problème de mise en forme canonique existait au niveau de la gestion de l’encodage EUC-JP, pouvant entraîner une attaque de scriptage intersites sur les sites Web EUC-JP. Ce problème a été résolu par la mise à jour de la table d’affectation.

    Référence CVE

    CVE-2011-3058 : Masato Kinugawa.

  • Services relatifs à l’identité

    Disponible pour : OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.

    Conséquence : possibilité de contourner l’authentification par identifiant Apple avec certificat.

    Description : un problème de gestion des erreurs se produisait avec les services relatifs à l’identité. Si le certificat de l’identifiant Apple de l’utilisateur n’avait pas été validé, son identifiant était considéré comme une chaîne vide. Si plusieurs systèmes, appartenant à des utilisateurs différents, passaient à un tel état, les applications utilisant cette forme de vérification d’identité pouvaient accroître le degré de confiance par erreur. Ce problème a été résolu par le remplacement de la chaîne vide par le résultat NULL.

    Référence CVE

    CVE-2013-0963

  • ImageIO

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.

    Conséquence : l’affichage d’un fichier TIFF malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : la gestion des fichiers TIFF par libtiff présentait un problème de dépassement de la mémoire tampon. Ce problème a été résolu par une validation supplémentaire des images TIFF.

    Référence CVE

    CVE-2012-2088

  • IOAcceleratorFamily

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.2.

    Conséquence : l’affichage d’une image malveillante peut entraîner l’arrêt inopiné du système ou l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau de la gestion des données graphiques. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2013-0976 : un chercheur anonyme.

  • Noyau

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.2.

    Conséquence : des applications malveillantes ou corrompues peuvent être en mesure de déterminer des adresses du noyau.

    Description : un problème de divulgation d’informations se produisait au niveau de la gestion des API dans le cadre des extensions de noyau. Les réponses contenant une clé OSBundleMachOHeaders pouvaient inclure des adresses du noyau. Ceci permettait notamment de contourner le système de protection de la randomisation de la disposition de l’espace d’adressage. Ce problème a été résolu par l’annulation du glissement des adresses avant de les renvoyer.

    Référence CVE

    CVE-2012-3749 : Mark Dowd d’Azimuth Security, Eric Monti de Square et d’autres chercheurs anonymes.

  • Fenêtre d’ouverture de session

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.2.

    Conséquence : il est possible qu’un attaquant disposant d’un accès par clavier soit en mesure de modifier la configuration du système.

    Description : la gestion de la fenêtre d’ouverture de session par VoiceOver présentait une erreur logique qui permettait à un attaquant disposant d’un accès par clavier de lancer les Préférences Système et de modifier les configurations du système. Le problème a été résolu en empêchant l’ouverture d’applications lors de l’affichage de la fenêtre d’ouverture de session dans VoiceOver.

    Référence CVE

    CVE-2013-0969 : Eric A. Schulman de Purpletree Labs.

  • Messages

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.2.

    Conséquence : la sélection d’un lien dans l’application Messages peut entraîner le démarrage d’un appel sans notification.

    Description : la sélection d’une URL formatée pour FaceTime dans l’application Messages peut conduire le système à ignorer l’invite de confirmation standard. Le problème a été résolu par une validation supplémentaire des URL FaceTime.

    Référence CVE

    CVE-2013-0970 : Aaron Sigel de vtty.com.

  • Serveur de messages

    Disponible pour : Mac OS X Server 10.6.8, OS X Lion Server 10.7 à 10.7.5.

    Conséquence : un attaquant distant peut rediriger les messages Jabber fédérés.

    Description : un problème existait au niveau du traitement par le serveur Jabber des messages de résultat des rappels. Un attaquant pouvait entraîner la divulgation, par le serveur Jabber, d’informations à l’attention des utilisateurs de serveurs fédérés. Ce problème a été résolu par un meilleur traitement des messages de résultat des rappels.

    Référence CVE

    CVE-2012-3525

  • PDFKit

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.

    Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion des annotations manuscrites dans les fichiers PDF présente un problème d’utilisation ultérieure libre. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2013-0971 : Tobias Klein, en collaboration avec la Zero Day Initiative d’HP TippingPoint.

  • Serveur de Podcast Producer

    Disponible pour : Mac OS X Server 10.6.8, OS X Lion Server 10.7 à 10.7.5.

    Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code.

    Description : la gestion des paramètres XML par Ruby on Rails présentait un problème de conversion de type. Ce problème a été résolu par la désactivation des paramètres XML dans l’implémentation Rails utilisée par le serveur de Podcast Producer.

    Référence CVE

    CVE-2013-0156

  • Serveur de Podcast Producer

    Disponible pour : OS X Lion Server 10.7 à 10.7.5.

    Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code.

    Description : la gestion des données JSON par Ruby on Rails présentait un problème de conversion de type. Ce problème a été résolu par l’utilisation du backend JSONGem pour l’analyse JSON dans l’implémentation Rails utilisée par le serveur de Podcast Producer.

    Référence CVE

    CVE-2013-0333

  • PostgreSQL

    Disponible pour : Mac OS X Server 10.6.8, OS X Lion Server 10.7 à 10.7.5.

    Conséquence : PostgreSQL présente plusieurs vulnérabilités.

    Description : la mise à jour 9.1.5 de PostgreSQL permet de remédier aux différentes vulnérabilités, la plus grave étant susceptible de permettre aux utilisateurs de base de données de lire des fichiers stockés dans le système de fichiers avec les privilèges du compte de rôle du serveur de base de données. Des informations supplémentaires sont disponibles sur le site Web de PostgreSQL, à l’adresse http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

    Référence CVE

    CVE-2012-3488

    CVE-2012-3489

  • Gestionnaire de profils

    Disponible pour : OS X Lion Server 10.7 à 10.7.5.

    Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code.

    Description : la gestion des paramètres XML par Ruby on Rails présentait un problème de conversion de type. Ce problème a été résolu par la désactivation des paramètres XML dans l’implémentation Rails utilisée par le gestionnaire de profils.

    Référence CVE

    CVE-2013-0156

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : la gestion des pavés rnet dans les fichiers MP4 présentait un problème de dépassement de la mémoire tampon. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2012-3756 : Kevin Szkudlapski de QuarksLab.

  • Ruby

    Disponible pour : Mac OS X Server 10.6.8.

    Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code si une application Rails est en cours d’exécution.

    Description : la gestion des paramètres XML par Ruby on Rails présentait un problème de conversion de type. Ce problème a été résolu par la désactivation du format YAML et des symboles utilisés par les paramètres XML de Rails.

    Référence CVE

    CVE-2013-0156

  • Sécurité

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter les informations d’identification de l’utilisateur ou d’autres données sensibles.

    Description : plusieurs certificats d’autorité de certification intermédiaire ont été délivrés par erreur par TURKTRUST. Un attaquant de type « homme du milieu » peut être en mesure de rediriger les connexions et d’intercepter les informations d’identification de l’utilisateur ou d’autres données sensibles. Ce problème a été résolu par l’interdiction des certificats SSL incorrects.

  • Mise à jour de logiciels

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5 et OS X Lion Server 10.7 à 10.7.5.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut provoquer l’exécution arbitraire de code.

    Description : l’application Mise à jour de logiciels a permis à un « homme du milieu » d’insérer du contenu de module dans le texte marketing utilisé pour les mises à jour. Ceci est susceptible de permettre l’exploitation d’un module vulnérable ou de faciliter les attaques d’ingénierie sociale à l’encontre des modules. Ce problème n’affecte pas les systèmes OS X Mountain Lion. Ce problème a été résolu en empêchant les modules d’être chargés dans les textes marketing de Mise à jour de logiciels (WebView).

    Référence CVE

    CVE-2013-0973 : Emilio Escobar.

  • Serveur Wiki

    Disponible pour : OS X Lion Server 10.7 à 10.7.5.

    Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code.

    Description : la gestion des paramètres XML par Ruby on Rails présentait un problème de conversion de type. Ce problème a été résolu par la désactivation des paramètres XML dans l’implémentation Rails utilisée par le serveur Wiki.

    Référence CVE

    CVE-2013-0156

  • Serveur Wiki

    Disponible pour : OS X Lion Server 10.7 à 10.7.5.

    Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code.

    Description : la gestion des données JSON par Ruby on Rails présentait un problème de conversion de type. Ce problème a été résolu par l’utilisation du backend JSONGem pour l’analyse JSON dans l’implémentation Rails utilisée par le serveur Wiki.

    Référence CVE

    CVE-2013-0333

  • Suppression des logiciels malveillants

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.

    Description : avec cette mise à jour, il est possible d’exécuter un utilitaire permettant de supprimer les logiciels malveillants, et leurs variantes les plus courantes. Si un logiciel malveillant est détecté par l’utilitaire, une boîte de dialogue s’affiche et vous indique qu’il a été supprimé. Aucune boîte de dialogue ne s’affiche si le logiciel malveillant n’est pas détecté.

 

Important : les mentions de sites Web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites Web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Dernière modification : 5 mai 2014
Avez-vous trouvé cet article utile ?
Oui
Non
  • Last Modified: 5 mai 2014
  • Article: HT5672
  • Views:

    3092
  • Rating:
    • 100.0

    (1 réponses)

Informations supplémentaires relatives à l’assistance produit