À propos du contenu de sécurité de la mise à jour Mac OS X 10.5.1 (client et serveur)
Ce document décrit le contenu de sécurité de la mise à jour Mac OS X 10.5.1 (client et serveur), qui peut être téléchargée et installée à partir des mises à jour logicielles préférences ou des téléchargements Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple. »
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple. »
Mise à jour Mac OS X v10.5.1
Coupe-feu applicatif
ID CVE : CVE-2007-4702
Disponible pour : Mac OS X v10.5, Mac OS X Server v10.5
Conséquence : le paramètre « Bloquer toutes les connexions entrantes » du pare-feu est trompeur.
Description : le paramètre « Bloquer toutes les connexions entrantes » du pare-feu d’application permet à tout processus exécuté en tant qu’utilisateur « root » (UID 0) de recevoir des connexions entrantes, et permet également à mDNSResponder de recevoir des connexions. Cela pourrait entraîner une exposition inattendue des services réseau. Cette mise à jour résout le problème en décrivant plus précisément l’option comme « Autoriser uniquement les services essentiels » et en limitant les processus autorisés à recevoir des connexions entrantes sous ce paramètre à un petit ensemble fixe de services système : configd (pour DHCP et autres protocoles de configuration réseau), mDNSResponder (pour Bonjour) et racoon (pour IPSec). Le contenu « Aide » du coupe-feu applicatif est également mis à jour pour fournir des informations supplémentaires. Ce problème n’a aucune incidence pas les systèmes antérieurs à Mac OS X v10.5.
Coupe-feu applicatif
ID CVE : CVE-2007-4703
Disponible pour : Mac OS X v10.5, Mac OS X Server v10.5
Conséquence : les processus exécutés en tant qu’utilisateur « root » (UID 0) ne peuvent pas être bloqués lorsque le pare-feu est défini sur « Définir l’accès pour des services et applications spécifiques ».
Description : le paramètre « Définir l’accès pour des services et applications spécifiques » pour le coupe-feu applicatif permet à tout processus exécuté en tant qu’utilisateur « root » (UID 0) de recevoir des connexions entrantes, même si son fichier exécutable est spécifiquement ajouté à la liste des programmes et son entrée dans la liste est marqué comme « Bloquer les connexions entrantes ». Cela pourrait entraîner une exposition inattendue des services réseau. Cette mise à jour corrige le problème afin que tout fichier exécutable ainsi marqué soit bloqué. Ce problème n’a aucune incidence pas les systèmes antérieurs à Mac OS X v10.5.
Coupe-feu applicatif
ID CVE : CVE-2007-4704
Disponible pour : Mac OS X v10.5, Mac OS X Server v10.5
Conséquence : les modifications apportées aux paramètres du coupe-feu applicatif n’affectent pas les processus démarrés par launchd jusqu’à leur redémarrage.
Description : lorsque les paramètres du coupe-feu applicatif sont modifiés, un processus en cours d’exécution démarré par launchd ne sera pas affecté jusqu’à son redémarrage. Un utilisateur peut s’attendre à ce que les modifications prennent effet immédiatement et laisser ainsi son système exposé lors de l’accès au réseau. Cette mise à jour corrige le problème afin que les modifications prennent effet immédiatement. Ce problème n’a aucune incidence pas les systèmes antérieurs à Mac OS X v10.5.