À propos des correctifs de sécurité de la mise à jour Mac OS X 10.4.7

Ce document décrit les correctifs de sécurité de la mise à jour Mac OS X 10.4.7, qui peut être téléchargée et installée à l’aide de Mise à jour logicielle, ou à partir de la page Téléchargements du site d’assistance Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des renseignements supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’articleMises à jour de sécurité Apple."'

Mise à jour Mac OS X 10.4.7

  • AFP

    Référence CVE : CVE-2006-1468

    Disponible pour : Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : les noms de fichiers et de dossiers peuvent être divulgués à des utilisateurs non autorisés

    Description : un problème au niveau du serveur AFP permet aux résultats de recherche d’inclure les noms de fichiers et de dossiers auxquels l’utilisateur effectuant la recherche n’a pas accès. Cela pourrait conduire à la divulgation d’informations si les noms eux-mêmes sont des renseignements confidentiels. Cette mise à jour résout le problème en s’assurant que les résultats de recherche n’incluent que les éléments pour lesquels l’utilisateur dispose d’autorisations. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X v10.4.

  • ClamAV

    Référence CVE : CVE-2006-1989

    Disponible pour : Mac OS X Server 10.4.6

    Conséquence : lorsque l’analyse antivirus est configurée pour se mettre à jour automatiquement, un miroir de base de données malveillant peut provoquer l’exécution de code arbitraire

    Description : un problème au niveau de la mise à jour automatique de la base de données antivirus de ClamAV peut conduire à un dépassement de mémoire tampon basée sur la pile. Un miroir de base de données ClamAV malveillant ou usurpé peut provoquer l’exécution de code arbitraire avec les privilèges de ClamAV. Le service Mail, l’analyse antivirus et les mises à jour automatiques de la base de données antivirus sont désactivés par défaut. Cette mise à jour résout le problème en intégrant ClamAV 0.88.2. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4.

  • ImageIO

    Référence CVE : CVE-2006-1469

    Disponible pour : Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : l’affichage d’une image TIFF malveillante peut entraîner le plantage de l’application ou l’exécution de code arbitraire

    Description : en concevant soigneusement une image TIFF corrompue, un attaquant peut déclencher un dépassement de mémoire tampon basée sur la pile qui peut provoquer le plantage de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des images TIFF. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X v10.4.

  • launchd

    Référence CVE : CVE-2006-1471

    Disponible pour : Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : les utilisateurs locaux peuvent obtenir des privilèges élevés

    Description : une vulnérabilité au niveau de la chaîne de formatage dans le programme setuid launchd peut permettre à un utilisateur local authentifié d’exécuter du code arbitraire avec des privilèges système. Ce problème est présent dans la fonction de consignation de launchd. Cette mise à jour résout le problème en effectuant une validation supplémentaire lors de la consignation des messages. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4. Merci à Kevin Finisterre, de DigitalMunition, d’avoir signalé ce problème.

  • OpenLDAP

    Référence CVE : CVE-2006-1470

    Disponible pour : Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : un attaquant distant peut provoquer le plantage du serveur Open Directory

    Description : en concevant soigneusement une requête LDAP non valide, un attaquant à distance peut déclencher une assertion dans le serveur OpenLDAP, ce qui conduit à un déni de service. Cette mise à jour résout le problème en supprimant la requête non valide. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4. Nous remercions l’équipe de recherche de Mu Security d’avoir signalé ce problème.

Date de publication: