À propos des correctifs de sécurité de la mise à jour de sécurité 2008-003/Mac OS X 10.5.3

Ce document décrit les correctifs de sécurité de la mise à jour de sécurité 2008-003/Mac OS X 10.5.3, qui peuvent être téléchargés et installés via les préférences de Mise à jour logicielle, ou à partir de la page Téléchargements du site d’assistance d’Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité d’Apple.

Mise à jour de sécurité 2008-003/Mac OS X v10.5.3

AFP Server

Référence CVE : CVE-2008-1027

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : des fichiers qui ne sont pas destinés à être partagés peuvent être accessibles à distance.

Description : le serveur AFP n’a pas vérifié qu’un fichier ou un répertoire à servir se trouvait dans un dossier désigné pour le partage. Un utilisateur ou un invité connecté peut accéder à tout fichier ou dossier pour lequel il a l’autorisation, même s’il ne se trouve pas dans des dossiers désignés pour le partage. Cette mise à jour résout le problème en refusant l’accès aux fichiers et aux dossiers qui ne se trouvent pas dans un dossier désigné pour le partage. Nous remercions Alex deVries et Robert Rich d’avoir signalé ce problème.

Apache

Références CVE : CVE-2005-3352, CVE-2005-3357, CVE-2006-3747, CVE-2007-1863, CVE-2007-3847, CVE-2007-4465, CVE-2007-5000, CVE-2007-6388

Disponible pour : Mac OS X Server v10.4.11

Conséquence : Apache 2.0.55 comporte plusieurs vulnérabilités.

Description : la mise à jour 2.0.63 d’Apache permet de remédier à plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner une exécution de scripts intersites. Pour en savoir plus, consultez le site web d’Apache à l’adresse http://httpd.apache.org. Apache 2.0.x n’est livré que sur les systèmes exécutant Mac OS X Server v10.4.x. Mac OS X v10.5.x et Mac OS X Server v10.5.x sont livrés avec Apache 2.2.x. Les problèmes qui affectaient Apache 2.2.x ont été résolus dans la mise à jour de sécurité 2008-002 pour Mac OS X v10.5.2 et Mac OS X Server v10.5.2.

AppKit

Référence CVE : CVE-2008-1028

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11

Conséquence : l’ouverture d’un fichier malveillant peut entraîner la fermeture inopinée d’une app ou une exécution arbitraire de code.

Description : un problème de mise en œuvre affecte le traitement des fichiers de documents par AppKit. L’ouverture d’un fichier malveillant dans un éditeur qui utilise AppKit, comme TextEdit, peut entraîner la fermeture inopinée de l’app ou une exécution arbitraire de code. Cette mise à jour résout le problème en améliorant la validation des fichiers de documents. Ce problème n’affecte pas les systèmes exécutant Mac OS X 10.5 ou une version ultérieure. Nous remercions Rosyna d’Unsanity d’avoir signalé ce problème.

Apple Pixlet Video

Référence CVE : CVE-2008-1577

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

Description : plusieurs problèmes de corruption de la mémoire affectent la gestion des fichiers utilisant le codec Pixlet. L’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code. Cette mise à jour résout le problème grâce à une meilleure vérification des limites.

ATS

Référence CVE : CVE-2008-1575

Disponible pour : Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : l’impression d’un document PDF contenant une police intégrée construite de manière malveillante peut entraîner une exécution arbitraire de code.

Description : un problème de corruption de la mémoire affecte la gestion par le serveur Apple Type Services des polices intégrées dans les fichiers PDF. L’impression d’un document PDF contenant une police construite de manière malveillante peut entraîner une exécution arbitraire de code. Cette mise à jour résout le problème en effectuant une validation supplémentaire des polices intégrées. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X v10.5. Nous remercions Melissa O’Neill du Harvey Mudd College d’avoir signalé ce problème.

CFNetwork

Référence CVE : CVE-2008-1580

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : la consultation d’un site web malveillant peut provoquer la divulgation d’informations confidentielles.

Description : un problème de divulgation d’informations affecte le traitement des certificats clients SSL de Safari. Lorsqu’un serveur web émet une demande de certificat client, le premier certificat client trouvé dans le trousseau est automatiquement envoyé, ce qui peut entraîner la divulgation des informations contenues dans le certificat. Cette mise à jour résout le problème en adressant un message à l’utilisateur avant d’envoyer le certificat.

CoreFoundation

Référence CVE : CVE-2008-1030

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : certaines utilisations de l’IPA CFData par des apps peuvent entraîner la fermeture inopinée de l’app ou une exécution arbitraire de code.

Description : un dépassement d’entier dans la gestion des objets CFData de CoreFoundation peut entraîner un dépassement de la mémoire tampon. Une application qui appelle CFDataReplaceBytes avec un argument de longueur non valide peut subir une fermeture inopinée ou entraîner une exécution arbitraire de code. Cette mise à jour résout le problème en effectuant une validation supplémentaire des paramètres de longueur.

CoreGraphics

Référence CVE : CVE-2008-1031

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’app ou une exécution arbitraire de code.

Description : un problème de variable non initialisée affecte la gestion des fichiers PDF dans CoreGraphics. L’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code. Cette mise à jour résout le problème grâce à une initialisation correcte des pointeurs.

CoreTypes

Référence CVE : CVE-2008-1032

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : les utilisateurs ne sont pas avertis avant d’ouvrir certains types de contenu potentiellement dangereux.

Description : cette mise à jour étend la liste des types de contenu qui seront marqués comme potentiellement dangereux dans certaines circonstances, comme lorsqu’ils sont téléchargés à partir d’une page web. Bien que ces types de contenu ne soient pas lancés automatiquement, s’ils sont ouverts manuellement, ils pourraient entraîner l’exécution d’une entité malveillante. Cette mise à jour améliore la capacité du système à avertir les utilisateurs avant de traiter les types de contenu utilisés par Automator, Aide, Safari et Terminal. Sous Mac OS X v10.4, cette fonction est assurée par la fonctionnalité de validation des téléchargements. Sous Mac OS X v10.5, cette fonction est assurée par la fonctionnalité de quarantaine. Nous remercions Brian Mastenbrook d’avoir signalé ce problème.

CUPS

Référence CVE : CVE-2008-1033

Disponible pour : Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : l’impression sur des imprimantes protégées par mot de passe et pour lesquelles l’historique de débogage est activé peut entraîner la divulgation d’informations sensibles.

Description : un problème affecte la vérification par le planificateur CUPS des variables de l’environnement d’authentification lorsque l’historique de débogage est activé. Cela peut entraîner la divulgation du nom d’utilisateur, du domaine et du mot de passe lors de l’impression sur une imprimante protégée par mot de passe. Cette mise à jour résout le problème en validant correctement les variables d’environnement. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X v10.5 sur lesquels la mise à jour de sécurité 2008-002 est installée.

Flash Player Plug-in

Références CVE : CVE-2007-5275, CVE-2007- 6243, CVE-2007- 6637, CVE-2007-6019, CVE-2007-0071, CVE-2008-1655, CVE-2008-1654

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : l’ouverture de contenu Flash malveillant peut entraîner une exécution arbitraire de code.

Description : plusieurs problèmes affectent le module d’extension Adobe Flash Player, dont le plus grave peut entraîner une exécution arbitraire de code. Cette mise à jour résout le problème en effectuant la mise à jour vers la version 9.0.124.0. De plus amples renseignements sont disponibles sur le site web Adobe à l’adresse http://www.adobe.com/support/security/bulletins/apsb08-11.html

Help Viewer

Référence CVE : CVE-2008-1034

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11

Conséquence : une URL malveillante de type aide:sujet peut entraîner la fermeture inopinée de l’app ou une exécution arbitraire de code.

Description : un sous-dépassement d’entier au niveau de la gestion des URL de type aide:sujet dans le visualiseur d’aide peut entraîner un dépassement de la mémoire tampon. L’accès à une URL malveillante de type aide:sujet peut entraîner la fermeture inopinée de l’app ou une exécution arbitraire de code. Cette mise à jour résout le problème grâce à une meilleure vérification des limites. Ce problème n’affecte pas les systèmes exécutant Mac OS X 10.5 ou une version ultérieure. Nous remercions Paul Haddad de PTH Consulting d’avoir signalé ce problème.

iCal

Référence CVE : CVE-2008-1035

Disponible pour : Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : l’ouverture d’un fichier iCalendar malveillant dans iCal peut entraîner la fermeture inopinée de l’app ou une exécution arbitraire de code.

Description : un problème d’utilisation ultérieure libre affecte la gestion des fichiers iCalendar (généralement « .ics ») de l’app iCal. L’ouverture d’un fichier iCalendar malveillant dans iCal peut entraîner la fermeture inopinée de l’app ou une exécution arbitraire de code. Cette mise à jour résout le problème en améliorant le décompte des références dans le code affecté. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X v10.5. Nous remercions Rodrigo Carvalho de Core Security Technologies d’avoir signalé ce problème.

International Components for Unicode

Référence CVE : CVE-2008-1036

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : la consultation de certains sites web peut entraîner la divulgation de renseignements sensibles.

Description : un problème de conversion affecte le traitement par ICU de certains encodages de caractères. Il est possible que certaines séquences de caractères non valides ne s’affichent pas dans le produit de la conversion, ce qui peut affecter les filtres de contenu. La consultation d’un site web malveillant peut entraîner l’injection de code indirect et la divulgation de renseignements sensibles. Cette mise à jour résout le problème en remplaçant les séquences de caractères non valides par un caractère de remplacement.

Image Capture

Référence CVE : CVE-2008-1571

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11

Conséquence : l’accès à une URL malveillante peut entraîner la divulgation d’informations.

Description : un problème de traversée de chemin affecte le serveur web intégré à Image Capture. Cela peut entraîner la divulgation de fichiers locaux sur le système serveur. Cette mise à jour résout le problème grâce à une meilleure gestion des URL. Ce problème n’affecte pas les systèmes exécutant Mac OS X v10.5 ou une version ultérieure.

Image Capture

Référence CVE : CVE-2008-1572

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11

Conséquence : un utilisateur local peut manipuler des fichiers avec les privilèges d’un autre utilisateur exécutant Image Capture.

Description : une opération de fichier non sécurisée affecte la gestion des fichiers temporaires dans Image Capture. Cela pourrait permettre à un utilisateur local d’écraser des fichiers avec les privilèges d’un autre utilisateur exécutant Image Capture ou d’accéder au contenu d’images redimensionnées. Cette mise à jour résout le problème en améliorant le traitement des fichiers temporaires. Ce problème n’affecte pas les systèmes exécutant Mac OS X v10.5 ou une version ultérieure.

ImageIO

Référence CVE : CVE-2008-1573

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : l’affichage d’une image BMP ou GIF construite de manière malveillante peut entraîner la divulgation d’informations.

Description : une lecture de mémoire hors limites peut se produire dans le moteur de décodage d’images BMP et GIF, ce qui peut entraîner la divulgation de contenu en mémoire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des images BMP et GIF. Nous remercions Gynvael Coldwind d’Hispasec d’avoir signalé ce problème.

ImageIO

Références CVE : CVE-2007-5266, CVE-2007-5268, CVE-2007-5269

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : la version 1.2.18 de libpng présente plusieurs vulnérabilités.

Description : plusieurs vulnérabilités affectent la version 1.2.18 de libpng, dont la plus grave peut entraîner un déni de service à distance. Cette mise à jour résout le problème en effectuant la mise à jour vers la version 1.2.24. De plus amples renseignements sont disponibles sur le site web de lippng à l’adresse http://www.libpng.org/pub/png/libpng.html

ImageIO

Référence CVE : CVE-2008-1574

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : l’affichage d’une image JPEG2000 malveillante peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

Description : un dépassement d’entier lors du traitement des fichiers d’images JPEG2000 peut entraîner un dépassement de la mémoire tampon. L’affichage d’un fichier d’image JPEG2000 malveillant peut entraîner la fermeture inopinée de l’app ou une exécution arbitraire de code. Cette mise à jour résout le problème grâce à une validation supplémentaire des images JPEG2000.

Kernel

Référence CVE : CVE-2008-0177

Disponible pour : Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : un attaquant distant peut être en mesure de provoquer un arrêt inopiné du système.

Description : une condition de défaillance non détectée affecte la gestion des paquets avec un en-tête IPComp. En envoyant un paquet malveillant à un système configuré pour utiliser IPSec ou IPv6, un attaquant peut provoquer un arrêt inopiné du système. Cette mise à jour résout le problème en détectant correctement la condition de défaillance.

Kernel

Référence CVE : CVE-2007-6359

Disponible pour : Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : un utilisateur local peut provoquer un arrêt inopiné du système.

Description : un déréférencement de pointeurs null affecte la gestion par le noyau des signatures de code dans la fonction cs_validate_page. Cela peut permettre à un utilisateur local de provoquer un arrêt inopiné du système. Cette mise à jour résout le problème en effectuant une validation supplémentaire des signatures de code. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X v10.5.

LoginWindow

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11

Conséquence : les préférences de Client géré peuvent ne pas être appliquées.

Description : cette mise à jour résout un problème introduit dans la mise à jour de sécurité 2007-004 qui n’affecte pas la sécurité. En raison d’un problème de concurrence, LoginWindow peut ne pas appliquer certaines préférences sur les systèmes gérés par Client géré pour Mac OS X (MCX). Cette mise à jour résout le problème en éliminant le problème de concurence lors du traitement des préférences gérées. Ce problème n’affecte pas les systèmes exécutant Mac OS X v10.5.

Mail

Référence CVE : CVE-2008-1576

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11

Conséquence : l’envoi de courriels via un serveur SMTP utilisant le protocole IPv6 peut entraîner une fermeture inopinée de l’app, une divulgation d’informations ou une exécution arbitraire de code.

Description : un problème de mémoire tampon non initialisée se produit dans l’app Mail. Lors de l’envoi de courriels via un serveur SMTP utilisant le protocole IPv6, l’app Mail peut utiliser une mémoire tampon contenant une mémoire partiellement non initialisée, ce qui pourrait entraîner la divulgation d’informations sensibles aux destinataires des messages et aux administrateurs des serveurs de messagerie. Cela pourrait également entraîner la fermeture inopinée de l’app ou une exécution arbitraire de code. Cette mise à jour résout le problème en initialisant correctement la variable. Ce problème n’affecte pas les systèmes exécutant Mac OS X v10.5 ou une version ultérieure. Nous remercions Derek Morr de la Pennsylvania State University d’avoir signalé ce problème.

ruby

Référence CVE : CVE-2007-6612

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : un attaquant distant peut être en mesure de lire des fichiers arbitraires.

Description : Mongrel est mis à jour vers la version 1.1.4 pour résoudre un problème de traversée de répertoire dans DirHandler pouvant entraîner la divulgation d’informations sensibles. Pour en savoir plus, consultez le site web de Mongrel à l’adresse http://rubyforge.org/projects/mongrel/.

Single Sign-On

Référence CVE : CVE-2008-1578

Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 à v10.5.2, Mac OS X Server v10.5 à v10.5.2

Conséquence : les mots de passe fournis à sso_util sont exposés à d’autres utilisateurs locaux.

Description : l’outil de ligne de commande sso_util exigeait que les mots de passe lui soient transmis dans ses arguments, exposant potentiellement les mots de passe à d’autres utilisateurs locaux. Les mots de passe exposés incluent ceux des utilisateurs, des administrateurs et le mot de passe d’administration du centre de distribution de clés. Cette mise à jour rend le paramètre de mot de passe facultatif, et sso_util vous demandera le mot de passe si nécessaire. Nous remercions Geoff Franks du Hauptman Woodward Institute d’avoir signalé ce problème.

Wiki Server

Référence CVE : CVE-2008-1579

Disponible pour : Mac OS X Server v10.5 à v10.5.2

Conséquence : un attaquant distant peut déterminer des noms d’utilisateur valides sur des serveurs lorsque Wiki Server est activé.

Description : un problème de divulgation d’informations affecte Wiki Server lors de l’accès à un blogue non existant. En utilisant les informations contenues dans le message d’erreur, un attaquant peut déduire l’existence de noms d’utilisateurs locaux. Cette mise à jour résout le problème en améliorant le traitement des messages d’erreur. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X v10.5. Nous remercions Don Rainwater de l’Université de Cincinnati d’avoir signalé ce problème.