À propos des correctifs de sécurité de la mise à jour Mac OS X 10.4.8 et de la mise à jour de sécurité 2006-006

Ce document décrit la mise à jour de sécurité 2006-006 et les correctifs de sécurité de la mise à jour Mac OS X 10.4.8, que vous pouvez télécharger et installer via les préférences de Mise à jour logicielle ou depuis la page Téléchargements du site d’assistance Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple .

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’articleComment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des renseignements supplémentaires.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez l’article Versions de sécurité d’Apple.

Mac OS X 10.4.8 et mise à jour de sécurité 2006-006

• CFNetwork

  Référence CVE : CVE-2006-4390

  Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 à Mac OS X 10.4.7, Mac OS X Server 10.4 à Mac OS X Server 10.4.7

  Conséquence : les clients CFNetwork tels que Safari peuvent permettre à des sites SSL non authentifiés d’apparaître comme authentifiés

  Description : les connexions créées par l’entremise du protocole SSL sont authentifiées et chiffrées normalement. Lorsque le chiffrement est mis en œuvre sans authentification, des sites malveillants peuvent être en mesure de se faire passer pour des sites de confiance. Dans le cas de Safari, cela peut entraîner l’affichage de l’icône de verrouillage lorsque l’identité d’un site distant ne peut être certifiée. Cette mise à jour corrige le problème en interdisant par défaut les connexions SSL anonymes. Nous remercions Adam Bryzak de la Queensland University of Technology d’avoir signalé ce problème.

• Flash Player

  Référence CVE : CVE-2006-3311, CVE-2006-3587, CVE-2006-3588, CVE-2006-4640

  Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 à Mac OS X 10.4.7, Mac OS X Server 10.4 à Mac OS X Server 10.4.7

  Conséquence : la lecture de contenus Flash peut entraîner l’exécution de code arbitraire

  Description : Adobe Flash Player contient des vulnérabilités critiques qui peuvent entraîner l’exécution de code arbitraire lors du traitement de contenus malveillants. Cette mise à jour résout ces problèmes en intégrant Flash Player 9.0.16.0 à Mac OS X 10.3.9 et Flash Player 9.0.20.0 aux systèmes Mac OS X v10.4.

  Pour en savoir plus, consultez le site web Adobe à l’adresse http://www.adobe.com/support/security/bulletins/apsb06-11.html.

• ImageIO

  Référence CVE : CVE-2006-4391

  Disponible pour : Mac OS X 10.4 à Mac OS X 10.4.7, Mac OS X Server 10.4 à Mac OS X Server 10.4.7

  Conséquence : l’affichage d’une image JPEG2000 malveillante peut entraîner le plantage de l’application ou l’exécution de code arbitraire

  Description : en concevant soigneusement une image JPEG2000 corrompue, un attaquant peut déclencher un dépassement de la mémoire tampon qui peut entraîner le plantage de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des images JPEG2000. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4. Nous remercions Tom Saxton d’Idle Loop Software Design d’avoir signalé ce problème.

• Kernel

  Référence CVE : CVE-2006-4392

  Disponible pour : Mac OS X 10.4 à Mac OS X 10.4.7, Mac OS X Server 10.4 à Mac OS X Server 10.4.7

  Conséquence : les utilisateurs locaux peuvent être en mesure d’exécuter du code arbitraire avec des privilèges élevés

  Description : un mécanisme de gestion des erreurs au niveau du noyau, connu sous le nom de ports d’exception Mach, permet de contrôler les programmes lorsque certains types d’erreurs surviennent. Des utilisateurs locaux malveillants peuvent utiliser ce mécanisme pour exécuter du code arbitraire dans des programmes privilégiés en cas d’erreur. Cette mise à jour résout le problème en limitant l’accès aux ports d’exception Mach pour les programmes privilégiés. Nous remercions Dino Dai Zovi de Matasano Security d’avoir signalé ce problème.

• LoginWindow

  Référence CVE : CVE-2006-4397

  Disponible pour : Mac OS X 10.4 à Mac OS X 10.4.7, Mac OS X Server 10.4 à Mac OS X Server 10.4.7

  Conséquence : après une tentative infructueuse de connexion à un compte réseau, les tickets Kerberos peuvent être accessibles à d’autres utilisateurs locaux

  Description : en raison d’une condition d’erreur non vérifiée, les tickets Kerberos peuvent ne pas être détruits correctement après une tentative infructueuse de connexion à un compte réseau via LoginWindow. Cela pourrait entraîner un accès non autorisé par d’autres utilisateurs locaux aux tickets Kerberos d’un utilisateur précédent. Cette mise à jour corrige le problème en effaçant le cache de données de connexion après les échecs de connexion. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4. Nous remercions Patrick Gallagher de Digital Peaks Corporation d’avoir signalé ce problème.

• LoginWindow

  Référence CVE : CVE-2006-4393

  Disponible pour : Mac OS X 10.4 à Mac OS X 10.4.7, Mac OS X Server 10.4 à Mac OS X Server 10.4.7

  Conséquence : les tickets Kerberos peuvent être accessibles à d’autres utilisateurs locaux si la permutation rapide d’utilisateur est activée

  Description : une erreur dans la gestion de la permutation rapide d’utilisateur peut permettre à un utilisateur local d’accéder aux tickets Kerberos d’autres utilisateurs locaux. La permutation rapide d’utilisateur a été mise à jour pour éviter cette situation. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4. Nous remercions Ragnar Sundblad de l’Institut royal de technologie de Stockholm, en Suède, d’avoir signalé ce problème.

• LoginWindow

  Référence CVE : CVE-2006-4394

  Disponible pour : Mac OS X 10.4 à Mac OS X 10.4.7, Mac OS X Server 10.4 à Mac OS X Server 10.4.7

  Conséquence : les comptes réseau peuvent être en mesure de contourner les contrôles d’accès au service LoginWindow

  Description : les contrôles d’accès au service peuvent être utilisés pour restreindre les utilisateurs autorisés à se connecter à un système via LoginWindow. Une erreur de logique dans LoginWindow permet aux comptes réseau sans GUID de contourner les contrôles d’accès au service. Ce problème concerne uniquement les systèmes qui ont été configurés de façon à utiliser les contrôles d’accès au service pour la LoginWindow et à permettre aux comptes réseau d’authentifier les utilisateurs sans GUID. Le problème a été corrigé en gérant correctement les contrôles d’accès au service dans LoginWindow. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X v10.4.

• Preferences

  Référence CVE : CVE-2006-4387

  Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.7, Mac OS X Server v10.4 à Mac OS X Server v10.4.7

  Conséquence : après la suppression des privilèges administratifs d’un compte, le compte pourrait toujours être en mesure de gérer les applications WebObjects

  Description : lorsque l’on décoche la case « Autoriser cet utilisateur à administrer cet ordinateur » dans Préférences Système, il est possible que le compte ne soit pas supprimé des groupes appserveradm ou appserverusr. Ces groupes permettent à un compte de gérer les applications WebObjects. Cette mise à jour corrige le problème en veillant à ce que le compte soit supprimé des groupes appropriés. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4. Nous remercions Phillip Tejada de Fruit Bat Software d’avoir signalé ce problème.

• QuickDraw Manager

  Référence CVE : CVE-2006-4395

  Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 à Mac OS X 10.4.7, Mac OS X Server 10.4 à Mac OS X Server 10.4.7

  Conséquence : l’ouverture d’une image PICT malveillante avec certaines applications peut entraîner le plantage de l’application ou l’exécution de code arbitraire

  Description : certaines applications appellent une opération QuickDraw non prise en charge pour afficher les images PICT. En créant soigneusement une image PICT corrompue, un attaquant peut déclencher la corruption de la mémoire dans ces applications, ce qui peut entraîner le plantage de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème en empêchant l’opération non prise en charge.

• SASL

  Référence CVE : CVE-2006-1721

  Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 à Mac OS X 10.4.7, Mac OS X Server 10.4 à Mac OS X Server 10.4.7

  Conséquence : des attaquants distants peuvent être en mesure de provoquer un déni de service du serveur IMAP

  Description : un problème dans la prise en charge de la négociation DIGEST-MD5 dans Cyrus SASL peut entraîner une erreur de segmentation dans le serveur IMAP avec un en-tête de domaine malveillant. Cette mise à jour corrige le problème en améliorant le traitement des en-têtes de domaine dans les tentatives d’authentification.

• WebCore

  Référence CVE : CVE-2006-3946

  Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 à Mac OS X 10.4.7, Mac OS X Server 10.4 à Mac OS X Server 10.4.7

  Conséquence : l’affichage d’une page web malveillante peut entraîner l’exécution de code arbitraire

  Description : une erreur de gestion de la mémoire dans le traitement par WebKit de certains fichiers HTML peut permettre à un site web malveillant de provoquer un plantage ou d’exécuter du code arbitraire lorsque l’utilisateur consulte le site. Cette mise à jour résout le problème en empêchant la condition à l’origine du débordement. Nous remercions Jens Kutilek de Netzallee, Lurene Grenier, ingénieure de recherche principale chez Sourcefire VRT, et Jose Avila III, analyste de sécurité chez ONZRA, d’avoir signalé ce problème.

• Workgroup Manager

  Référence CVE : CVE-2006-4399

  Disponible pour : Mac OS X Server v10.4 à Mac OS X Server v10.4.7

  Conséquence : il est possible que des comptes d’un parent NetInfo qui semblent utiliser des mots de passe ShadowHash utilisent toujours l’authentification crypt

  Description : Workgroup Manager semble permettre de basculer d’une authentification crypt à une authentification par mots de passe ShadowHash dans un parent NetInfo, alors qu’en réalité, ce n’est pas le cas. L’actualisation de l’affichage d’un compte dans un parent NetInfo indiquera correctement que l’authentification crypt est toujours utilisée. Cette mise à jour résout le problème en interdisant aux administrateurs de sélectionner les mots de passe ShadowHash pour les comptes d’un parent NetInfo. Nous remercions Chris Pepper de la Rockefeller University d’avoir signalé ce problème.

Remarque d’installation

Mise à jour logicielle présentera la mise à jour qui s’applique à la configuration de votre système. Une seule de ces mises à jour est requise.

La mise à jour de sécurité 2006-006 s’installera sur les systèmes Mac OS X 10.3.9 et Mac OS X Server 10.3.9.

Mac OS X 10.4.8 contient les correctifs de sécurité présents dans la mise à jour de sécurité 2006-006 et s’installera sur Mac OS X 10.4 et les versions ultérieures, ainsi que sur Mac OS X Server 10.4 et les versions ultérieures.