À propos des correctifs de sécurité d’OS X Yosemite 10.10.3 et de la mise à jour de sécurité 2015-004

Ce document décrit les correctifs de sécurité d’OS X Yosemite 10.10.3 et de la mise à jour de sécurité 2015-004.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

OS X Yosemite 10.10.3 et mise à jour de sécurité 2015-004

  • Cadre administrateur

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un processus peut être associé à des privilèges administrateur, et ce sans qu’aucune authentification n’ait lieu.

    Description : un problème existait lors de la vérification des autorisations XPC. Ce problème a été résolu par une vérification améliorée des autorisations.

    Référence CVE

    CVE-2015-1130 : Emil Kvarnhammar chez TrueSec.
     

  • apache

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : Apache présente plusieurs vulnérabilités.

    Description : Apache (versions antérieures aux versions 2.4.10 et 2.2.29) présentait plusieurs vulnérabilités, l’une d’elles pouvant entraîner l’exécution arbitraire de code par un attaquant distant. Ces problèmes ont été résolus par la mise à jour d’Apache vers les versions 2.4.10 et 2.2.29.

    Référence CVE

    CVE-2013-5704

    CVE-2013-6438

    CVE-2014-0098

    CVE-2014-0117

    CVE-2014-0118

    CVE-2014-0226

    CVE-2014-0231
  • ATS

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : plusieurs problèmes de validation d’entrées existaient dans fontd. Ces problèmes ont été résolus par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-1131 : Ian Beer de Google Project Zero.

    CVE-2015-1132 : Ian Beer de Google Project Zero.

    CVE-2015-1133 : Ian Beer de Google Project Zero.

    CVE-2015-1134 : Ian Beer de Google Project Zero.

    CVE-2015-1135 : Ian Beer de Google Project Zero.

  • Politique de fiabilité des certificats

    Conséquence : la politique de fiabilité des certificats est mise à jour.

    Description : la politique de fiabilité des certificats était mise à jour. Cliquez ici pour consulter la liste complète des certificats.

  • CFNetwork/Protocole HTTP

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : les cookies associés à une origine peuvent être transférés vers une autre.

    Description : un problème lié aux cookies et à plusieurs domaines existait au niveau de la gestion des redirections. Les cookies définis dans une réponse de redirection peuvent être transmis à une cible de redirection associée à une autre origine. Ce problème a été résolu par une meilleure gestion des redirections.

    Référence CVE

    CVE-2015-1089 : Niklas Keller (http://kelunik.com).

  • Session CFNetwork

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : des informations d’authentification peuvent être transmises à un serveur se trouvant au niveau d’une autre origine.

    Description : un problème lié aux en-têtes de requêtes HTTP, et affectant plusieurs domaines, existait au niveau de la gestion des redirections. Les en-têtes de requêtes HTTP, envoyées dans une réponse de redirection, pouvaient être transmises à une autre origine. Ce problème a été résolu par une meilleure gestion des redirections.

    Référence CVE

    CVE-2015-1091 : Diego Torres (http://dtorres.me).

  • CFURL

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : la consultation d’un site Web malveillant peut conduire à l’exécution arbitraire de code.

    Description : un problème de validation d’entrée existait au niveau du traitement des URL. Ce problème a été résolu par une meilleure validation des URL.

    Référence CVE

    CVE-2015-1088 : Luigi Galli.

  • CoreAnimation

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : la consultation d’un site Web malveillant peut conduire à l’exécution arbitraire de code.

    Description : un problème d’utilisation ultérieure libre existe dans CoreAnimation. Ce problème a été résolu par une meilleure gestion des mutex.

    Référence CVE

    VE-2015-1136 : Apple.

  • FontParser

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

    Description : plusieurs problèmes de corruption de la mémoire existaient au niveau du traitement des fichiers de polices. Ces problèmes ont été résolus par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-1093 : Marc Schoenefeld.

  • Gestionnaire de graphique

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de déréférencement de pointeur nul existait au niveau de la gestion, par le gestionnaire de la carte graphique NVIDIA, de certains types de client IOService. Ce problème a été résolu par une validation supplémentaire du contexte.

    Référence CVE

    CVE-2015-1137 : Frank Graziano et John Villamil de la Yahoo Pentest Team.

  • Hyperviseur

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : une application locale peut être à l’origine d’un déni de service.

    Description : un problème de validation d’entrée existait dans le cadre de l’hyperviseur. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-1138 : Izik Eidus et Alex Fishman.

  • ImageIO

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : le traitement d’un fichier .sgi malveillant peut entraîner l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau de la gestion des fichiers .sgi. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-1139 : Apple.

  • IOHIDFamily

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un périphérique HID malveillant peut provoquer l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait dans l’API IOHIDFamily. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-1095 : Andrew Church.

  • IOHIDFamily

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de dépassement de la mémoire tampon affectait IOHIDFamily. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-1140 : lokihardt@ASRT en collaboration avec le programme Zero Day Initiative d’HP, Luca Todesco, Vitaliy Toropov en collaboration avec le programme Zero Day Initiative d’HP (ZDI).

  • IOHIDFamily

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : un problème existait dans IOHIDFamily et entraînait la divulgation du contenu de la mémoire du noyau. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-1096 : Ilja van Sprundel d’IOActive.

  • IOHIDFamily

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de dépassement de mémoire tampon existait au niveau de la gestion, par IOHIDFamily, des propriétés de mappage par clé. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4404 : Ian Beer de Google Project Zero.

  • IOHIDFamily

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de déréférencement de pointeurs null existait au niveau de la gestion, par IOHIDFamily, des propriétés de mappage par clé. Ce problème a été résolu par une meilleure validation des propriétés IOHIDFamily de mappage par clé.

    Référence CVE

    CVE-2014-4405 : Ian Beer de Google Project Zero.

  • IOHIDFamily

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5.

    Conséquence : un utilisateur peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème d’écriture hors limites existait au niveau du gestionnaire IOHIDFamily. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2014-4380 : cunzhang de l’Adlab de Venustech.

  • Noyau

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un utilisateur local peut provoquer l’arrêt inopiné du système.

    Description : un problème existait au niveau de la gestion des opérations liées à la mémoire virtuelle, au sein du noyau. Ce problème a été résolu par une meilleure gestion de l’opération mach_vm_read.

    Référence CVE

    CVE-2015-1141 : Ole Andre Vadla Ravnas de www.frida.re.

  • Noyau

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un utilisateur local peut être à l’origine d’un déni de service.

    Description : un problème de concurrence existait au niveau de l’appel système setreuid du noyau. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2015-1099 : Mark Mentovai de Google Inc.

  • Noyau

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : une application locale peut permettre d’augmenter le niveau d’autorisation avec un service corrompu.

    Description : les appels système setreuid et setregid ne permettaient pas de réduire le niveau des autorisations de manière permanente. Ce problème a été résolu par une réduction correcte du niveau d’autorisation.

    Référence CVE

    CVE-2015-1117 : Mark Mentovai de Google Inc.

  • Noyau

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut être en mesure de rediriger le trafic utilisateur vers des hôtes arbitraires.

    Description : les redirections ICMP étaient activées par défaut sous OS X. Ce problème a été résolu par la désactivation des redirections ICMP.

    Référence CVE

    CVE-2015-1103 : Zimperium Mobile Security Labs.

  • Noyau

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut provoquer un déni de service.

    Description : un problème d’incohérence relatif aux états existait au niveau du traitement des en-têtes TCP. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2015-1102 : Andrey Khudyakov et Maxim Zhuravlev de Kaspersky Lab.

  • Noyau

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou la lecture du contenu de la mémoire du noyau.

    Description : un problème d’accès mémoire hors limites existait dans le noyau. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-1100 : Maxime Villard de m00nbsd.

  • Noyau

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un attaquant distant peut être en mesure d’ignorer les filtres réseau.

    Description : le système considérait certains paquets IPv6, provenant d’interfaces réseau distantes, comme des paquets locaux. Ce problème a été résolu par un rejet de ces paquets.

    Référence CVE

    CVE-2015-1104 : Stephen Roettger de la Google Security Team.

  • Noyau

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un utilisateur local peut être en mesure d’exécuter un code arbitraire avec des privilèges noyau.

    Conséquence : un problème de corruption de la mémoire existait dans le noyau. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-1101 : lokihardt@ASRT en collaboration avec le programme Zero Day Initiative d’HP.

  • Noyau

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un attaquant distant peut être à l’origine d’un déni de service.

    Description : un problème d’incohérence d’état existait au niveau de la gestion des données TCP hors-bande. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2015-1105 : Kenton Varda de Sandstorm.io.

  • LaunchServices

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un utilisateur local peut être en mesure d’occasionner un blocage du Finder.

    Description : un problème de validation d’entrée existait au niveau de la gestion, par LaunchServices, des données de localisation liées à une application. Ce problème a été résolu par une meilleure validation des données de localisation.

    Référence CVE

    CVE-2015-1142

  • LaunchServices

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : une confusion liée aux types existait au niveau de la gestion, par LaunchServices, des chaînes localisées. Ce problème a été résolu par une vérification supplémentaire des limites.

    Référence CVE

    CVE-2015-1143 : Apple.

  • libnetcore

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : le traitement d’un profil de configuration malveillant peut entraîner la fermeture inopinée d’une application.

    Description : un problème de corruption de la mémoire existait au niveau de la gestion des profils de configuration. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-1118 : Zhaofeng Chen, Hui Xue, Yulong Zhang et Tao Wei de FireEye, Inc.

  • ntp

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un attaquant distant peut forcer la génération de clés d’authentification ntpd.

    Description : la fonction config_auth, dans ntpd, permettait la génération d’une clé faible, lorsqu’aucune clé d’authentification n’était configurée. Ce problème a été résolu par une meilleure génération des clés.

    Référence CVE

    CVE-2014-9298

  • OpenLDAP

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un client distant non authentifié peut être à l’origine d’un déni de service.

    Description : plusieurs problèmes de validation d’entrées existaient dans OpenLDAP. Ces problèmes ont été résolus par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-1545 : Ryan Tandy.

    CVE-2015-1546 : Ryan Tandy.

  • OpenSSL

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : plusieurs vulnérabilités affectent OpenSSL.

    Description : OpenSSL 0.9.8zc présentait plusieurs vulnérabilités, l’une d’elles pouvant permettre à un attaquant d’intercepter les connexions en direction d’un serveur prenant en charge les chiffrements de type export-grade. Ces problèmes ont été résolus par la mise à jour d’OpenSSL vers la version 0.9.8zd.

    Référence CVE

    CVE-2014-3569

    CVE-2014-3570

    CVE-2014-3571

    CVE-2014-3572

    CVE-2014-8275

    CVE-2015-0204

  • Client Open Directory

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un mot de passe peut être transmis sur le réseau sans être chiffré, lors de l’utilisation d’Open Directory sous OS X Server.

    Description : si un client Open Directory était lié à un serveur exécutant OS X Server, mais n’installait pas les certificats applicables, et qu’un utilisateur de ce même client modifiait son mot de passe, la demande de modification de mot de passe était transmise sur le réseau, sans que ce dernier ne soit chiffré. Ce problème a été résolu par l’application d’un chiffrement dans une telle situation.

    Référence CVE

    CVE-2015-1147 : Apple.

  • PHP

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : PHP présente plusieurs vulnérabilités.

    Description : PHP (versions antérieures aux versions 5.3.29, 5.4.38 et 5.5.20) présentait plusieurs vulnérabilités, l’une d’elles pouvant entraîner l’exécution arbitraire de code. Ces problèmes ont été résolus par la mise à jour de PHP vers les versions 5.3.29, 5.4.38 et 5.5.20.

    Référence CVE

    CVE-2013-6712

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-2497

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3538

    CVE-2014-3587

    CVE-2014-3597

    CVE-2014-3668

    CVE-2014-3669

    CVE-2014-3670

    CVE-2014-3710

    CVE-2014-3981

    CVE-2014-4049

    CVE-2014-4670

    CVE-2014-4698

    CVE-2014-5120

  • QuickLook

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : l’ouverture d’un fichier iWork malveillant peut entraîner l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau de la gestion des fichiers iWork. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-1098 : Christopher Hickstein.

  • SceneKit

    Disponible pour : OS X Mountain Lion 10.8.5.

    Conséquence : l’affichage d’un fichier Collada malveillant peut entraîner l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion, par SceneKit, des fichiers Collada. L’affichage d’un fichier Collada malveillant pouvait entraîner l’exécution arbitraire de code. Ce problème a été résolu par une meilleure validation des éléments accessoires.

    Référence CVE

    CVE-2014-8830 : Jose Duart de la Google Security Team.

  • Partage d’écran

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : le mot de passe d’un utilisateur peut être consigné dans un fichier local.

    Conséquence : dans certains cas, la fonctionnalité Partage d’écran pouvait entraîner la consignation du mot de passe d’un utilisateur, alors que celui-ci n’était normalement pas lisible par les autres utilisateurs du système. Ce problème a été résolu par la non-consignation du mot de passe.

    Référence CVE

    CVE-2015-1148 : Apple.

  • Sécurité - Signature par code

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : les applications ayant fait l’objet de manipulations inappropriées peuvent tout de même s’exécuter.

    Conséquence : des applications contenant des paquets ayant fait l’objet de modifications peuvent être en mesure de se lancer, même sans signature complètement valide. Ce problème a été résolu par l’ajout de vérifications supplémentaires.

    Référence CVE

    CVE-2015-1145

    CVE-2015-1146

  • Identifiants Uniform Type

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.2.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des identifiants Uniform Type. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-1144 : Apple.

  • WebKit

    Disponible pour : OS X Yosemite 10.10 à 10.10.2.

    Conséquence : la consultation d’un site Web malveillant peut conduire à l’exécution arbitraire de code.

    Description : WebKit présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-1069 : lokihardt@ASRT en collaboration avec le programme Zero Day Initiative d’HP.

La mise à jour de sécurité 2015-004 (pour OS X Mountain Lion 10.8.5 et OS X Mavericks 10.9.5) permet également de remédier à un problème dû au correctif associé à la référence CVE-2015-1067 (mise à jour de sécurité 2015-002). Ce problème empêchait les clients Remote Apple Events (toute version) de se connecter au serveur Remote Apple Events. Dans les configurations par défaut, le serveur Remote Apple Events n’est pas activé.

OS X Yosemite 10.10.3 inclut les correctifs de sécurité de Safari 8.0.5.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication: