À propos des correctifs de sécurité d’OS X Yosemite 10.10.1

Consultez cet article pour en savoir plus sur les correctifs de sécurité d’OS X Yosemite 10.10.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

OS X Yosemite 10.10

  • 802.1X

    Conséquence : un attaquant peut être en mesure d’obtenir des identifiants de connexion Wi-Fi.

    Description : un attaquant pouvait créer un point d’accès Wi-Fi factice, auquel il était possible de s’authentifier à l’aide du protocole LEAP. Il pouvait également compromettre le hachage MS-CHAPv1 et utiliser les identifiants ainsi obtenus pour permettre une authentification au niveau du point d’accès concerné, même si ce dernier prenait en charge des méthodes d’authentification plus sécurisées. Ce problème a été résolu par la désactivation par défaut du protocole LEAP.

    Référence CVE

    CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax et Wim Lamotte de l’université d’Hasselt.

  • Serveur de fichiers AFP

    Conséquence : un attaquant distant peut être en mesure d’identifier toutes les adresses réseau du système.

    Description : le serveur de fichiers AFP prenait en charge une commande qui permettait d’obtenir toutes les adresses réseau du système. Ce problème a été résolu par la suppression des adresses du résultat de la commande.

    Référence CVE

    CVE-2014-4426 : Craig Young de Tripwire VERT.

  • apache

    Conséquence : Apache présente plusieurs vulnérabilités.

    Description : plusieurs vulnérabilités existaient dans Apache, la plus importante pouvant provoquer un déni de service. Ces problèmes ont été résolus par la mise à jour d’Apache vers la version 2.4.9.

    Référence CVE

    CVE-2013-6438

    CVE-2014-0098

  • Applications sandboxées

    Conséquence : une application associée à des restrictions en matière de sandboxing peut permettre l’utilisation inappropriée de l’API d’accessibilité.

    Description : une application sandboxée peut permettre l’utilisation inappropriée de l’API d’accessibilité, à l’insu de l’utilisateur. Ce problème a été résolu en demandant à l’administrateur d’approuver ou non l’utilisation de l’API d’accessibilité, et ce pour chaque application concernée.

    Référence CVE

    CVE-2014-4427 : Paul S. Ziegler de Reflare UG.

  • Bash

    Conséquence : sur certaines configurations, un attaquant distant peut être en mesure d’exécuter des commandes Shell arbitraires.

    Description : l’analyse Bash des variables environnementales présentait un problème. Ce problème a été résolu via l’amélioration de l’analyse des variables environnementales, à l’aide d’une meilleure détection de la fin des fonctions.

    Cette mise à jour comprend également le correctif CVE-2014-7169, réinitialisant l’état de l’outil d’analyse.

    En outre, un nouvel espace dédié aux fonctions d’exportation a été ajouté en créant un décorateur de fonction empêchant les en-têtes non désirés d’être traités par Bash. Les variables environnementales introduisant des définitions de fonction doivent être dotées du préfixe « __BASH_FUNC< » et du suffixe « >() » afin de bloquer les fonctions au niveau des en-têtes HTTP.

    Référence CVE

    CVE-2014-6271 : Stephane Chazelas.

    CVE-2014-7169 : Tavis Ormandy.

  • Bluetooth

    Conséquence : un périphérique d’entrée Bluetooth malveillant peut permettre d’ignorer le processus de jumelage.

    Description : les connexions non chiffrées étaient rendues possibles par les périphériques Bluetooth HID à faible consommation d’énergie. Si un Mac était jumelé avec un tel périphérique, un attaquant pouvait utiliser le périphérique en question à des fins malveillantes pour établir une connexion. Ce problème a été résolu par le rejet des connexions HID non chiffrées.

    Référence CVE

    CVE-2014-4428 : Mike Ryan d’iSEC Partners.

  • CFPreferences

    Conséquence : il est possible que le réglage « Exiger un mot de passe après la suspension d’activité ou le lancement de l’économiseur d’écran » ne soit pas effectif tant que le système n’a pas été redémarré.

    Description : un problème de gestion de session existait au niveau de la prise en charge des réglages applicables aux préférences système. Ce problème a été résolu par un meilleur suivi des sessions.

    Référence CVE

    CVE-2014-4425

  • Politique de fiabilité des certificats

    Conséquence : la politique de fiabilité des certificats est mise à jour.

    Description : la politique de fiabilité des certificats était mise à jour. La liste complète des certificats peut être consultée à l’adresse http://support.apple.com/kb/HT6005?viewlocale=fr_FR.

  • CoreStorage

    Conséquence : un volume chiffré peut rester déverrouillé après son éjection.

    Description : lorsqu’un volume chiffré était éjecté, celui-ci était démonté. Cependant, les clés étaient conservées en mémoire, ce qui permettait de procéder au montage sans saisir le mot de passe. Ce problème a été résolu par l’effacement des clés lors de l’éjection.

    Référence CVE

    CVE-2014-4430 : Benjamin King de See Ben Click Computer Services LLC, Karsten Iwen, Dustin Li (http://dustin.li/), Ken J. Takekoshi et d’autres chercheurs anonymes.

  • CUPS

    Conséquence : un utilisateur local peut entraîner l’exécution d’un code arbitraire à l’aide de privilèges système.

    Description : lorsque l’interface Web CUPS permettait l’obtention de fichiers, les liens symboliques étaient utilisés. Un utilisateur local pouvait créer des liens symboliques, redirigeant vers des fichiers arbitraires, et récupérer ainsi ces derniers via l’interface Web. Ce problème a été résolu en empêchant l’utilisation de liens symboliques via l’interface Web CUPS.

    Référence CVE

    CVE-2014-3537

  • Dock

    Conséquence : dans certaines situations, il est possible que des fenêtres soient visibles, même après le verrouillage de l’écran.

    Description : un problème de gestion de mode existait au niveau de la gestion du système de verrouillage de l’écran. Ce problème a été résolu par un meilleur suivi de l’état.

    Référence CVE

    CVE-2014-4431 : Emil Sjölander de l’université d’Umeå.

  • fdesetup

    Conséquence : la commande fdesetup peut indiquer un état de chiffrement incorrect au niveau du disque.

    Description : après la mise à jour des réglages, mais avant le redémarrage, la commande fdesetup indiquait un état de chiffrement incorrect au niveau du disque. Ce problème a été résolu par un meilleur signalement de l’état.

    Référence CVE

    CVE-2014-4432

  • Fonctionnalité Localiser mon Mac d’iCloud

    Conséquence : le code PIN applicable au mode Perdu d’iCloud peut faire l’objet d’une attaque par force brute.

    Description : un problème de persistance d’état, lié aux limites de taux, rendait le code PIN applicable au mode Perdu d’iCloud vulnérable aux attaques par force brute. Ce problème a été résolu par une meilleure persistance de l’état au fil des redémarrages.

    Référence CVE

    CVE-2014-4435 : knoy.

  • IOAcceleratorFamily

    Conséquence : une application peut entraîner un déni de service.

    Description : un problème de déréférencement de pointeurs null existait au niveau du gestionnaire IntelAccelerator. Ce problème a été résolu par une meilleure gestion des erreurs.

    Référence CVE

    CVE-2014-4373 : cunzhang de l’Adlab de Venustech.

  • IOHIDFamily

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de déréférencement de pointeurs null existait au niveau de la gestion, par IOHIDFamily, des propriétés de mappage par clé. Ce problème a été résolu par une meilleure validation des propriétés IOHIDFamily de mappage par clé.

    Référence CVE

    CVE-2014-4405 : Ian Beer de Google Project Zero.

  • IOHIDFamily

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de dépassement de mémoire tampon existait au niveau de la gestion, par IOHIDFamily, des propriétés de mappage par clé. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4404 : Ian Beer de Google Project Zero.

  • IOHIDFamily

    Conséquence : une application peut entraîner un déni de service.

    Description : un problème de lecture hors limites de la mémoire existait au niveau du gestionnaire IOHIDFamily. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2014-4436 : cunzhang de l’Adlab de Venustech.

  • IOHIDFamily

    Conséquence : un utilisateur peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème d’écriture hors limites existait au niveau du gestionnaire IOHIDFamily. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2014-4380 : cunzhang de l’Adlab de Venustech.

  • IOKit

    Conséquence : une application malveillante peut être en mesure de lire des données non initialisées au niveau de la mémoire du noyau.

    Description : un problème d’accès à la mémoire non initialisée existait au niveau de la gestion des fonctions IOKit. Ce problème a été résolu par une meilleure initialisation de la mémoire.

    Référence CVE

    CVE-2014-4407 : @PanguTeam.

  • IOKit

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de validation existait au niveau de la gestion de certains champs de métadonnées, associés à des objets IODataQueue. Ce problème a été résolu par une meilleure validation des métadonnées.

    Référence CVE

    CVE-2014-4388 : @PanguTeam.

  • IOKit

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de validation existait au niveau de la gestion de certains champs de métadonnées, associés à des objets IODataQueue. Ce problème a été résolu par une meilleure validation des métadonnées.

    Référence CVE

    CVE-2014-4418 : Ian Beer de Google Project Zero.

  • Noyau

    Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : de multiples problèmes liés à la mémoire non initialisée existaient au niveau de l’interface applicable aux statistiques réseau, ce qui entraînait la divulgation du contenu de la mémoire noyau. Ce problème a été résolu par une initialisation supplémentaire de la mémoire.

    Référence CVE

    CVE-2014-4371 : Fermin J. Serna de la Google Security Team.

    CVE-2014-4419 : Fermin J. Serna de la Google Security Team.

    CVE-2014-4420 : Fermin J. Serna de la Google Security Team.

    CVE-2014-4421 : Fermin J. Serna de la Google Security Team.

  • Noyau

    Conséquence : un système de fichiers conçu de manière malveillante peut entraîner l’arrêt inopiné du système ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des branches de ressources HFS. Un système de fichiers conçu de manière malveillante pouvait entraîner l’arrêt inopiné du système ou l’exécution arbitraire de code, grâce à des privilèges de niveau noyau. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4433 : Maksymilian Arciemowicz.

  • Noyau

    Conséquence : un système de fichiers conçu de manière malveillante peut entraîner l’arrêt inopiné du système.

    Description : un problème de déréférencement de pointeurs null existait au niveau de la gestion des noms de fichier HFS. Un système de fichiers conçu de manière malveillante pouvait entraîner l’arrêt inopiné du système. Ce problème a été résolu par la suppression du déréférencement NULL.

    Référence CVE

    CVE-2014-4434 : Maksymilian Arciemowicz.

  • Noyau

    Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou une exécution arbitraire de code au niveau du noyau.

    Description : un problème double existait au niveau de la gestion des ports Mach. Ce problème a été résolu par une meilleure validation des ports Mach.

    Référence CVE

    CVE-2014-4375 : un chercheur anonyme.

  • Noyau

    Conséquence : une personne profitant d’une position privilégiée sur le réseau peut entraîner un déni de service.

    Description : un problème de concurrence existait au niveau de la gestion des paquets IPv6. Ce problème a été résolu par une meilleure vérification de l’état Verrouillé.

    Référence CVE

    CVE-2011-2391 : Marc Heuse.

  • Noyau

    Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou une exécution arbitraire de code au niveau du noyau.

    Description : un problème de lecture hors limites existait au niveau de rt_setgate, pouvant entraîner la divulgation du contenu de la mémoire, ou la corruption de cette dernière. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4408

  • Noyau

    Conséquence : un utilisateur local peut entraîner l’arrêt inopiné du système.

    Description : une erreur grave existait au niveau de la gestion des messages envoyés aux sockets de contrôle système. Ce problème a été résolu par une validation supplémentaire des messages.

    Référence CVE

    CVE-2014-4442 : Darius Davis de VMware.

  • Noyau

    Conséquence : certaines mesures de renforcement du noyau peuvent être ignorées.

    Description : le générateur de nombre aléatoire utilisé lors de mesures de renforcement du noyau, au début du processus de démarrage, n’était pas sécurisé de manière cryptographique. Certains des résultats obtenus étaient consultables depuis l’espace utilisateur, ce qui permettait de contourner les mesures de renforcement. Ce problème a été résolu par l’utilisation d’un algorithme sécurisé de manière cryptographique.

    Référence CVE

    CVE-2014-4422 : Tarjei Mandt d’Azimuth Security.

  • LaunchServices

    Conséquence : une application locale peut ignorer les restrictions applicables en matière de sandboxing.

    Description : l’interface LaunchServices, utilisable pour configurer des pilotes de type de contenu, permettait aux applications sandboxées d’indiquer quels pilotes devaient être exploités. Une application douteuse pouvait tirer parti de ce problème afin d’ignorer les restrictions applicables en matière de sandboxing. Ce problème a été résolu en empêchant les applications d’indiquer quels pilotes de type de contenu doivent être exploités.

    Référence CVE

    CVE-2014-4437 : Meder Kydyraliev de la Google Security Team.

  • LoginWindow

    Conséquence : l’écran ne se verrouille parfois pas.

    Description : un problème de concurrence existait dans LoginWindow et pouvait parfois empêcher le verrouillage de l’écran. Ce problème a été résolu par la modification de l’ordre des opérations.

    Référence CVE

    CVE-2014-4438 : Harry Sintonen de nSense, Alessandro Lobina d’Helvetia Insurances, Patryk Szlagowski de Funky Monkey Labs.

  • Mail

    Conséquence : l’application Mail peut envoyer des e-mails à des destinataires inattendus.

    Description : un problème lié à l’interface utilisateur de Mail entraînait l’envoi d’e-mails à des adresses ayant été retirées de la liste des destinataires. Ce problème a été résolu par une meilleure vérification de l’interface utilisateur.

    Référence CVE

    CVE-2014-4439 : Patrick J Power de Melbourne, Australie.

  • Profils MCX Desktop Config

    Conséquence : lorsque les profils de configuration mobile sont désinstallés, les réglages correspondants ne sont pas supprimés.

    Description : les réglages de proxy Web, installés par un profil de configuration mobile, n’étaient pas supprimés lorsque le profil était désinstallé. Ce problème a été résolu par une meilleure prise en charge de la désinstallation des profils.

    Référence CVE

    CVE-2014-4440 : Kevin Koster de Cloudpath Networks.

  • Cadre NetFS Client

    Conséquence : il peut être impossible de désactiver la fonctionnalité Partage de fichiers.

    Description : un problème de gestion de l’état existait au niveau du cadre NetFS Client. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2014-4441 : Eduardo Bonsi de BEARTCOMMUNICATIONS.

  • QuickTime

    Conséquence : la lecture d’un fichier m4a malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau des échantillons audio. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4351 : Karl Smith de NCC Group.

  • Safari

    Conséquence : l’historique des pages récemment consultées dans un onglet ouvert est susceptible d’être conservé après la suppression de l’historique.

    Description : la suppression de l’historique Safari ne permettait pas d’effacer l’historique des pages précédentes/suivantes pour les onglets ouverts. Ce problème a été résolu par la suppression de l’historique précédent/suivant.

    Référence CVE

    CVE-2013-5150

  • Safari

    Conséquence : le fait de s’abonner aux notifications Push depuis un site Web conçu de manière malveillante peut entraîner la non-réception des notifications Push Safari.

    Description : un problème d’exception non détecté existait au niveau de la gestion, par SafariNotificationAgent, des notifications Push Safari. Ce problème a été résolu par une meilleure gestion des notifications Push Safari.

    Référence CVE

    CVE-2014-4417 : Marek Isalski de Faelix Limited.

  • Secure Transport

    Conséquence : un attaquant peut être en mesure de déchiffrer des données protégées par le protocole SSL.

    Description : la confidentialité du protocole SSL 3.0 est sujette à des attaques lorsqu’une suite de chiffrement utilise un chiffrement de bloc en mode d’enchaînement des blocs. Un attaquant pouvait forcer l’utilisation du protocole SSL 3.0, même lorsque le serveur prenait en charge une version plus adaptée du protocole TLS, et ce en bloquant les tentatives de connexion par le protocole TLS 1.0 et version ultérieure. Ce problème a été résolu par la désactivation des suites de chiffrement en mode d’enchaînement des blocs en cas d’échec d’une connexion TLS.

    Référence CVE

    CVE-2014-3566 : Bodo Moeller, Thai Duong et Krzysztof Kotowicz de la Google Security Team.

  • Sécurité

    Conséquence : un attaquant distant peut être à l’origine d’un déni de service.

    Description : un problème de déréférencement de pointeurs null existait au niveau de la gestion des données ASN.1. Ce problème a été résolu par une validation supplémentaire des données ASN.1.

    Référence CVE

    CVE-2014-4443 : Coverity.

  • Sécurité

    Conséquence : un utilisateur local peut être en mesure d’accéder aux tickets Kerberos d’un autre utilisateur.

    Description : un problème de gestion de l’état existait dans SecurityAgent. Lors de l’utilisation de la fonctionnalité Permutation rapide d’utilisateur, il était parfois possible qu’un ticket Kerberos correspondant au nouvel utilisateur soit placé dans le cache associé à l’ancien utilisateur. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2014-4444 : Gary Simon de Sandia National Laboratories, Ragnar Sundblad du KTH Royal Institute of Technology, Eugene Homyakov de Kaspersky Lab.

  • Sécurité - Signature par code

    Conséquence : les applications ayant fait l’objet de manipulations inappropriées peuvent tout de même s’exécuter.

    Description : les applications signées sous OS X, avant la mise à disposition d’OS X Mavericks 10.9, ou les applications utilisant des règles de ressources personnalisées, pouvaient avoir fait l’objet de manipulations inappropriées sans que la signature soit considérée comme non-valide. Sur les systèmes configurés de sorte à n’autoriser que les applications provenant du Mac App Store et celles proposées par des développeurs identifiés, une application modifiée, puis téléchargée, pouvait tout de même s’exécuter. Ce problème a été résolu par la non-prise en compte des signatures de paquets, en cas d’enveloppes de ressources n’incluant pas les ressources pouvant avoir une incidence sur l’exécution de l’application. OS X Mavericks 10.9.5 et la mise à jour de sécurité 2014-004 pour OS X Mountain Lion 10.8.5 inclut déjà ces modifications.

    Référence CVE

    CVE-2014-4391 : Christopher Hickstein en collaboration avec le programme Zero Day Initiative d’HP.

Remarque : OS X Yosemite inclut Safari 8.0, qui lui-même comprend les correctifs de sécurité de Safari 7.1. Pour en savoir plus, consultez l’article À propos des correctifs de sécurité de Safari 7.1.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication: