À propos des correctifs de sécurité d’OS X Mountain Lion 10.8.5 et de la mise à jour de sécurité 2013-004

Ce document détaille les correctifs de sécurité d’OS X Mountain Lion 10.8.5 et de la mise à jour de sécurité 2013-004.

Ils peuvent être téléchargés et installés via les préférences de Mises à jour de logiciels ou sur la page Téléchargements d’Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

OS X Mountain Lion 10.8.5 et mise à jour de sécurité 2013-004

• Apache

  Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : présence de plusieurs failles de sécurité dans Apache

  Description : de nombreuses failles de sécurité existaient dans Apache, dont les plus graves pouvaient entraîner une attaque de type « injection de code indirect ». Ces problèmes ont été résolus par la mise à jour d’Apache vers la version 2.2.24.

  Références CVE

  CVE-2012-0883

  CVE-2012-2687

  CVE-2012-3499

  CVE-2012-4558

• Bind

  Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : présence de plusieurs failles de sécurité dans BIND

  Description : de nombreuses failles de sécurité existaient dans BIND, dont les plus graves pouvaient entraîner un déni de service. Ces problèmes ont été résolus par la mise à jour de BIND vers la version 9.8.5-P1. CVE-2012-5688 ne concerne pas les systèmes Mac OS X 10.7.

  Référence CVE

  CVE-2012-3817

  CVE-2012-4244

  CVE-2012-5166

  CVE-2012-5688

  CVE-2013-2266

• Certificate Trust Policy

  Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : des certificats racine ont été mis à jour

  Description : plusieurs certificats ont été ajoutés à la liste des racines système ou en ont été retirés. La liste complète des racines système reconnues peut être consultée via l’application Keychain Access.

• ClamAV

  Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5 et OS X Lion Server 10.7.5

  Conséquence : présence de plusieurs failles de sécurité dans ClamAV

  Description : de nombreuses failles de sécurité existaient dans ClamAV, dont les plus graves pouvaient entraîner l’exécution arbitraire de code. Ce problème a été résolu par la mise à jour de ClamAV vers la version 0.97.8

  Référence CVE

  CVE-2013-2020

  CVE-2013-2021

• CoreGraphics

  Disponible pour : OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : l’affichage d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

  Description : il existait un dépassement de mémoire tampon dans la gestion des données JBIG2 encodées dans les fichiers PDF. Ce problème a été résolu par une vérification supplémentaire des limites.

  Référence CVE

  CVE-2013-1025 : Felix Groebert de l’équipe de sécurité Google

• ImageIO

  Disponible pour : OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : l’affichage d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

  Description : il existait un dépassement de mémoire tampon dans la gestion des données JPEG2000 encodées dans les fichiers PDF. Ce problème a été résolu par une vérification supplémentaire des limites.

  Référence CVE

  CVE-2013-1026 : Felix Groebert de l’équipe de sécurité Google

• Installer

  Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : des paquets pouvaient être ouverts après la révocation du certificat

  Description : quand Installer rencontrait un certificat révoqué, il présentait une boîte de dialogue avec une option pour continuer. Ce problème a été résolu par la suppression de la boîte de dialogue et le refus de tout paquet révoqué.

  Référence CVE

  CVE-2013-1027

• IPSec

  Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : un attaquant peut intercepter des données protégées par IPSec Hybrid Auth

  Description : le nom DNS d’un serveur IPSec Hybrid Auth n’était pas comparé au certificat, ce qui permettait à un attaquant disposant d’un certificat pour n’importe quel serveur d’usurper l’identité d’un autre. Ce problème a été résolu par une vérification appropriée du certificat.

  Référence CVE

  CVE-2013-1028 : Alexander Traud de www.traud.de

• Kernel

  Disponible pour : OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : un utilisateur du réseau local peut provoquer un déni de service

  Description : une vérification incorrecte dans le code d’analyse des paquets IGMP dans le noyau a permis à un utilisateur qui pouvait envoyer des paquets IGMP au système de provoquer une panique dans le noyau. Ce problème a été résolu par la suppression des vérifications.

  Référence CVE

  CVE-2013-1029 : Christopher Bohn de PROTECTSTAR INC.

• Mobile Device Management

  Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : les mots de passe peuvent être divulgués à d’autres utilisateurs locaux

  Description : un mot de passe a été transmis à mdmclient sur la ligne de commande, ce qui l’a rendu visible par les autres utilisateurs du même système. Ce problème a été résolu en communiquant le mot de passe par l’intermédiaire d’un canal.

  Référence CVE

  CVE-2013-1030 : Per Olofsson de l’Université de Göteborg

• OpenSSL

  Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : présence de plusieurs failles de sécurité dans OpenSSL

  Description : de nombreuses failles de sécurité existaient dans OpenSSL, dont les plus graves pouvaient entraîner la divulgation de données utilisateur. Ce problème a été résolu par la mise à jour d’OpenSSL vers la version 0.9.8y.

  Référence CVE

  CVE-2012-2686

  CVE-2013-0166

  CVE-2013-0169

• PHP

  Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : présence de plusieurs failles de sécurité dans PHP

  Description : de nombreuses failles de sécurité existaient dans PHP, dont les plus graves pouvaient entraîner l’exécution arbitraire de code. Ces problèmes ont été résolus par la mise à jour de PHP vers la version 5.3.26

  Références CVE

  CVE-2013-1635

  CVE-2013-1643

  CVE-2013-1824

  CVE-2013-2110

• PostgreSQL

  Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : présence de plusieurs failles de sécurité dans PostgreSQL

  Description : de nombreuses failles de sécurité existaient dans PostgreSQL, dont les plus graves pouvaient entraîner une corruption des données ou une escalade des privilèges. CVE-2013-1901 ne concerne pas les systèmes OS X Lion. Ce problème a été résolu par la mise à jour de PostgreSQL vers la version 9.1.9 sur les systèmes OS X Mountain Lion et 9.0.4 sur les systèmes OS X Lion.

  Référence CVE

  CVE-2013-1899

  CVE-2013-1900

  CVE-2013-1901

• Power Management

  Disponible pour : OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : l’économiseur d’écran ne se lançait pas systématiquement une fois le délai spécifié écoulé

  Description : il existait un problème de verrouillage de l’assertion de puissance. Ce problème a été résolu par une meilleure gestion du verrouillage.

  Référence CVE

  CVE-2013-1031

• QuickTime

  Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : la lecture d’un fichier vidéo malveillant pourrait entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

  Description : un problème de corruption de la mémoire existait dans la gestion des atomes idsc dans les fichiers vidéo QuickTime. Ce problème a été résolu par une vérification supplémentaire des limites.

  Référence CVE

  CVE-2013-1032 : Jason Kratzer en collaboration avec iDefense VCP

• Screen Lock

  Disponible pour : OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : un utilisateur ayant accès au partage d’écran pourrait contourner le verrouillage de l’écran lorsqu’un autre utilisateur est connecté

  Description : un problème existait dans la gestion des sessions de partage d’écran par le verrouillage d’écran. Ce problème a été résolu par un meilleur suivi des sessions.

  Référence CVE

  CVE-2013-1033 : Jeff Grisso d’Atos IT Solutions, Sébastien Stormacq

• sudo

  Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

  Conséquence : un attaquant contrôlant le compte utilisateur d’un administrateur pourrait obtenir les privilèges de l’administrateur sans connaître son mot de passe utilisateur

  Description : en réglant l’horloge du système, un attaquant pourrait utiliser sudo pour obtenir des privilèges de root sur des systèmes où sudo a été utilisé auparavant. Sous OS X, seuls les utilisateurs administrateurs peuvent modifier l’horloge système. Ce problème a été résolu en vérifiant si l’horodatage n’était pas invalide.

  Référence CVE

  CVE-2013-1775

• Remarque : OS X Mountain Lion 10.8.5 corrige également un problème susceptible d’entraîner un arrêt inattendu des applications à cause de certaines chaînes Unicode.