Langues

À propos des correctifs de sécurité d’OS X Mountain Lion 10.8.5 et de la mise à jour de sécurité 2013-004

Ce document décrit les correctifs de sécurité d’OS X Mountain Lion 10.8.5 et la mise à jour de sécurité 2013-004.

Ceux-ci peuvent être téléchargés et installés via les préférences de Mise à jour de logiciels, ou à partir de la page des téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour obtenir des informations sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

OS X Mountain Lion 10.8.5 et mise à jour de sécurité 2013-004

  • Apache

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : Apache présente plusieurs vulnérabilités.

    Description : plusieurs vulnérabilités existaient dans Apache, la plus importante pouvant provoquer un scriptage intersite. Ces problèmes ont été résolus par la mise à jour d’Apache vers la version 2.2.24.

    Référence CVE

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • BIND

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : BIND présente plusieurs vulnérabilités.

    Description : plusieurs vulnérabilités existaient dans BIND, la plus grave pouvant provoquer un déni de service. Ces problèmes ont été résolus par la mise à jour de BIND vers la version 9.8.5-P1. La référence CVE-2012-5688 ne s’appliquait pas aux systèmes exécutant Mac OS X 10.7.

    Référence CVE

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Politique de fiabilité des certificats

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : des certificats racines ont été mis à jour.

    Description : plusieurs certificats ont été ajoutés à la liste des racines système, ou retirés de celle-ci. L’application Trousseau d’accès permet de consulter la liste complète des racines système reconnues.

  • ClamAV

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5.

    Conséquences : ClamAV comporte plusieurs vulnérabilités.

    Description : ClamAV présente plusieurs vulnérabilités, la plus grave pouvant entraîner l’exécution arbitraire de code. Cette mise à jour permet de résoudre ces problèmes par le biais de la mise à jour de ClamAV vers la version 0.97.8.

    Référence CVE

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : un dépassement de la mémoire tampon se produisait au niveau de la gestion des données chiffrées JBIG2 dans les fichiers PDF. Ce problème a été résolu par une vérification supplémentaire des limites.

    Référence CVE

    CVE-2013-1025 : Felix Groebert de l’équipe de sécurité de Google.

  • ImageIO

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : un dépassement de la mémoire tampon se produisait au niveau de la gestion des données chiffrées JPEG2000 dans les fichiers PDF. Ce problème a été résolu par une vérification supplémentaire des limites.

    Référence CVE

    CVE-2013-1026 : Felix Groebert de l’équipe de sécurité de Google.

  • Programme d’installation

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : des paquets peuvent être ouverts après la révocation d’un certificat.

    Description : lorsque le programme d’installation traitait un certificat révoqué, celui-ci entraînait l’affichage d’une boîte de dialogue comprenant une option permettant de poursuivre. Ce problème a été résolu par la suppression de cette boîte de dialogue et par le rejet de tout paquet révoqué.

    Référence CVE

    CVE-2013-1027

  • IPSec

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : un attaquant peut être en mesure d’intercepter des données protégées par un processus d’authentification hybride IPSec.

    Description : le nom DNS d’un serveur avec authentification hybride IPSec n’était pas associé au certificat. Ainsi, un attaquant disposant d’un certificat correspondant à tout type de serveur peut se faire passer pour un autre serveur. Ce problème a été résolu par une meilleure validation du certificat.

    Référence CVE

    CVE-2013-1028 : Alexander Traud de www.traud.de.

  • Noyau

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : l’utilisateur d’un réseau local peut entrainer un déni de service.

    Description : une vérification incorrecte au niveau du code d’analyse du paquet IGMP, dans le noyau, permettait à un utilisateur (habilité à envoyer des paquets IGMP au système) de provoquer une erreur grave du noyau. Ce problème a été résolu par le retrait de la vérification.

    Référence CVE

    CVE-2013-1029 : Christopher Bohn de PROTECTSTAR INC.

  • Gestion des périphériques mobiles

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : les mots de passe peuvent être divulgués à d’autres utilisateurs locaux.

    Description : un mot de passe était transmis en ligne de commande au client MDM, ce qui permettait sa divulgation à d’autres utilisateurs du même système. Le problème a été résolu par la communication du mot de passe via un canal.

    Référence CVE

    CVE-2013-1030 : Per Olofsson de l’université de Göteborg.

  • OpenSSL

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : il existe plusieurs vulnérabilités dans OpenSSL.

    Description : il existait plusieurs vulnérabilités dans OpenSSL, la plus grave pouvant entraîner la divulgation de données utilisateur. Ces problèmes ont été résolus par la mise à jour d’OpenSSL vers la version 0.9.8y.

    Référence CVE

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : PHP présente plusieurs vulnérabilités.

    Description : PHP présentait plusieurs vulnérabilités, la plus grave étant susceptible d’entraîner une exécution arbitraire de code. Ces problèmes ont été résolus par la mise à jour de PHP vers la version 5.3.26.

    Référence CVE

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : PostgreSQL présente plusieurs vulnérabilités.

    Description : PostgreSQL présentait plusieurs vulnérabilités, la plus grave pouvant entraîner une corruption des données ou une augmentation du niveau des privilèges. La référence CVE-2013-1901 n’affecte pas les systèmes exécutant OS X Lion. Cette mise à jour permet de résoudre ces problèmes par le biais de la mise à jour de PostgreSQL vers la version 9.1.9 sur les systèmes OS X Mountain Lion, et vers la version 9.0.4 sur les systèmes OS X Lion.

    Référence CVE

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Gestion de l’alimentation

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : l’économiseur d’écran peut ne pas démarrer après l’intervalle de temps indiqué.

    Description : un problème existait au niveau de l’application d’un verrouillage affectant l’alimentation. Ce problème a été résolu par une meilleure gestion du verrouillage.

    Référence CVE

    CVE-2013-1031

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : il existait un problème de corruption de mémoire au niveau de la gestion des atomes idsc dans les fichiers vidéo QuickTime. Ce problème a été résolu par une vérification supplémentaire des limites.

    Référence CVE

    CVE-2013-1032 : Jason Kratzer en collaboration avec iDefense VCP.

  • Verrouillage d’écran

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : un utilisateur disposant d’un accès au partage d’écran peut être en mesure de contourner le système de verrouillage de l’écran lorsqu’un autre utilisateur est connecté.

    Description : un problème de gestion de session existait au niveau de la prise en charge du système de verrouillage de l’écran, lors de sessions de partage d’écran. Ce problème a été résolu par un meilleur suivi des sessions.

    Référence CVE

    CVE-2013-1033 : Jeff Grisso d’Atos IT Solutions, Sébastien Stormacq.

  • sudo

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.

    Conséquence : un attaquant contrôlant le compte d’un utilisateur administrateur peut être en mesure de bénéficier de privilèges racine, sans connaître le mot de passe de l’utilisateur.

    Description : en configurant l’horloge système, un attaquant pouvait être en mesure d’utiliser la commande sudo pour bénéficier de privilèges racine sur des systèmes sur lesquels cette même commande avait été précédemment utilisée. Sous OS X, seuls les utilisateurs administrateurs peuvent modifier l’horloge système. Ce problème a été résolu par la recherche d’un horodatage non valide.

    Référence CVE

    CVE-2013-1775

 

  • Remarque : la mise à jour OS X Mountain Lion 10.8.5 permet également de remédier à un problème au cours duquel certains segments Unicode pouvaient entraîner la fermeture inopinée d’applications.

 

Important : les mentions de sites Web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites Web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Dernière modification : 20 sept. 2013
Avez-vous trouvé cet article utile ?
Oui
Non
  • Last Modified: 20 sept. 2013
  • Article: HT5880
  • Views:

    2063
  • Rating:
    • 100.0

    (1 réponses)

Informations supplémentaires relatives à l’assistance produit