À propos de la mise à jour de sécurité 2006-003

Ce document décrit la mise à jour de sécurité 2006-003, qui peut être téléchargée et installée via les préférences de Mise à jour logicielle ou à partir de la page Téléchargements du site d’assistance Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple .

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’articleComment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez l’article Versions de sécurité d’Apple.

Mise à jour de sécurité 2006-003

  • AppKit

    Référence CVE : CVE-2006-1439

    Disponible pour : Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : les caractères saisis dans un champ sécurisé peuvent être lus par d’autres applications dans la même session

    Description : dans certains cas, lorsque vous basculez entre des champs de saisie de texte, il se peut que la réactivation de la saisie d’événements sécurisée par NSSecureTextField échoue. Cela peut permettre à d’autres applications de la même session de voir certains caractères saisis et événements clavier. Cette mise à jour résout ce problème en s’assurant que la saisie d’événements sécurisée est bien activée. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X v10.4.

  • AppKit, ImageIO

    Référence CVE : CVE-2006-1982, CVE-2006-1983, CVE-2006-1984

    Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : l’affichage d’une image GIF ou TIFF malveillante peut conduire à l’exécution de code arbitraire

    Description : le traitement d’une image GIF ou TIFF défectueuse peut conduire à l’exécution de code arbitraire lors de l’analyse d’une image malveillante. Cela concerne les applications qui utilisent ImageIO (Mac OS X 10.4 Tiger) ou AppKit (Mac OS X 10.3 Panther) pour lire des images. Cette mise à jour résout le problème en effectuant une validation supplémentaire des images GIF et TIFF.

  • BOM

    Référence CVE : CVE-2006-1985

    Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : la décompression d’une archive peut conduire à l’exécution de code arbitraire

    Description : en concevant soigneusement une archive (par exemple, une archive Zip) contenant de longs noms de chemin d’accès, un attaquant peut déclencher un dépassement de mémoire tampon basée sur le tas dans BOM. Cela peut entraîner l’exécution de code arbitraire. BOM est utilisé pour traiter les archives dans le Finder et dans d’autres applications. Cette mise à jour résout le problème en traitant correctement les conditions de limites.

  • BOM

    Référence CVE : CVE-2006-1440

    Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : la décompression d’une archive malveillante peut entraîner la création ou l’écrasement de fichiers arbitraires

    Description : un problème de traitement des liens symboliques de parcours de répertoire rencontré dans les archives peut conduire BOM à créer ou à écraser des fichiers dans des emplacements arbitraires accessibles par l’utilisateur qui décompresse l’archive. BOM traite les archives pour le Finder et d’autres applications. Cette mise à jour résout le problème en s’assurant que les fichiers décompressés à partir d’une archive ne sont pas placés hors du répertoire de destination.

  • CFNetwork

    Référence CVE : CVE-2006-1441

    Disponible pour : Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : la consultation de sites web malveillants peut conduire à l’exécution de code arbitraire

    Description : un dépassement d’entier lors du traitement de l’encodage de transfert fragmenté peut conduire à l’exécution de code arbitraire. CFNetwork est utilisé par Safari et d’autres applications. Cette mise à jour résout le problème en effectuant une validation supplémentaire. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4.

  • ClamAV

    Référence CVE : CVE-2006-1614, CVE-2006-1615, CVE-2006-1630

    Disponible pour : Mac OS X Server 10.4.6

    Conséquence : le traitement de courriels malveillants avec ClamAV peut conduire à l’exécution de code arbitraire

    Description : le logiciel antivirus ClamAV a été mis à jour pour intégrer des correctifs de sécurité dans la dernière version. ClamAV a été ajouté dans Mac OS X Server 10.4 pour l’analyse des courriels. Le plus grave de ces problèmes pourrait conduire à l’exécution de code arbitraire avec les privilèges de ClamAV. Pour en savoir plus, consultez le site web du projet à l’adresse http://www.clamav.net.

  • CoreFoundation

    Référence CVE : CVE-2006-1442

    Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : l’enregistrement d’un paquet non fiable peut conduire à l’exécution de code arbitraire

    Description : dans certains cas, les paquets sont implicitement enregistrés par les applications ou le système. Une fonctionnalité de l’API de traitement des paquets permet aux bibliothèques dynamiques de se charger et de s’exécuter lorsqu’un paquet est enregistré, même si l’application cliente ne le demande pas explicitement. Par conséquent, du code arbitraire peut être exécuté à partir d’un paquet non fiable sans interaction explicite de la part de l’utilisateur. Cette mise à jour résout le problème en chargeant et en exécutant les bibliothèques uniquement à partir du paquet au moment adéquat.

  • CoreFoundation

    Référence CVE : CVE-2006-1443

    Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : les conversions de chaînes de caractères en représentations de système de fichiers peuvent conduire à l’exécution de code arbitraire

    Description : un sous-dépassement d’entier pendant le traitement d’une condition de limite dans CFStringGetFileSystemRepresentation peut conduire à l’exécution de code arbitraire. Les applications qui utilisent cette API ou l’une des API associées, comme getFileSystemRepresentation:maxLength:withPath: de NSFileManager, peuvent déclencher le problème et conduire à l’exécution de code arbitraire. Cette mise à jour résout le problème en traitant correctement les conditions de limites.

  • CoreGraphics

    Référence CVE : CVE-2006-1444

    Disponible pour : Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : les caractères saisis dans un champ de texte sécurisé peuvent être lus par d’autres applications dans la même session

    Description : Quartz Event Services fournit aux applications la possibilité d’observer et d’altérer des événements de saisie utilisateur de bas niveau. En temps normal, ces applications ne peuvent pas intercepter des événements lorsque la saisie d’événements sécurisée est activée. Cependant, si l’option « Activer l’accès pour les périphériques d’aide » est activée, Quartz Event Services peut être utilisé pour intercepter des événements même lorsque la saisie d’événements sécurisée est activée. Cette mise à jour résout le problème en filtrant les événements lorsque la saisie d’événements sécurisée est activée. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4. Nous remercions Damien Bobillot d’avoir signalé ce problème.

  • Finder

    Référence CVE : CVE-2006-1448

    Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : le lancement d’un fichier d’adresse Internet peut conduire à l’exécution de code arbitraire

    Description : les éléments d’adresse Internet sont de simples conteneurs d’URL qui peuvent référencer des URL de type http://, ftp:// et file://, ainsi que quelques autres schémas d’URL. Ces différents types d’éléments d’adresse Internet sont visuellement distincts et sont destinés à être lancés de manière explicite sans danger. Cependant, le schéma de l’URL peut être différent du type d’adresse Internet. En conséquence, un attaquant peut convaincre un utilisateur de lancer un élément qui semble bénin (tel qu’une adresse Internet http://), mais qu’un autre schéma d’URL soit en fait utilisé. Dans certains cas, cela peut conduire à l’exécution de code arbitraire. Cette mise à jour résout ces problèmes en restreignant le schéma d’URL au type d’adresse Internet.

  • FTPServer

    Référence CVE : CVE-2006-1445

    Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : des opérations FTP réalisées par des utilisateurs FTP authentifiés peuvent conduire à l’exécution de code arbitraire

    Description : plusieurs problèmes dans le traitement du nom de chemin d’un serveur FTP peuvent conduire à un dépassement de mémoire tampon. Un utilisateur malveillant authentifié peut déclencher ce dépassement qui peut conduire à l’exécution de code arbitraire avec les privilèges du serveur FTP. Cette mise à jour résout le problème en traitant correctement les conditions de limites.

  • Flash Player

    Référence CVE : CVE-2005-2628, CVE-2006-0024

    Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : la lecture d’un contenu Flash peut conduire à l’exécution de code arbitraire

    Description : Adobe Flash Player contient des vulnérabilités critiques qui peuvent conduire à l’exécution de code arbitraire lors du chargement de fichiers prévus à cet effet. Pour en savoir plus, consultez le site Adobe à l’adresse http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. Cette mise à jour résout le problème en intégrant Flash Player 8.0.24.0.

  • ImageIO

    Référence CVE : CVE-2006-1552

    Disponible pour : Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : l’affichage d’une image JPEG malveillante peut conduire à l’exécution de code arbitraire

    Description : un dépassement d’entier dans le traitement des métadonnées JPEG peut entraîner un dépassement de mémoire tampon. En concevant soigneusement une image avec des métadonnées JPEG défectueuses, un attaquant peut provoquer l’exécution de code arbitraire lors de l’affichage de l’image. Cette mise à jour résout le problème en effectuant une validation supplémentaire des images. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4. Nous remercions Brent Simmons, de NewsGator Technologies, Inc., d’avoir signalé ce problème.

  • Trousseau

    Référence CVE : CVE-2006-1446

    Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : il est possible qu’une application puisse utiliser des éléments du trousseau lorsque celui-ci est verrouillé

    Description : lorsqu’un trousseau est verrouillé, les applications ne peuvent pas accéder à ses éléments sans demander d’abord son déverrouillage. Cependant, une application qui a obtenu une référence à un élément de trousseau avant que le trousseau ne soit verrouillé peut, dans certains cas, continuer d’utiliser cet élément de trousseau indépendamment du fait que le trousseau soit verrouillé ou non. Cette mise à jour résout le problème en rejetant les demandes d’utilisation d’éléments du trousseau lorsque celui-ci est verrouillé. Nous remercions Tobias Hahn, de HU Berlin, d’avoir signalé ce problème.

  • LaunchServices

    Référence CVE : CVE-2006-1447

    Disponible pour : Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : l’affichage d’un site web malveillant peut conduire à l’exécution de code arbitraire

    Description : de longues extensions de noms de fichiers peuvent empêcher la fonctionnalité de validation des téléchargements de déterminer correctement l’application avec laquelle un élément peut être ouvert. En conséquence, un attaquant peut contourner la fonctionnalité de validation des téléchargements et provoquer l’ouverture automatique par Safari d’un contenu non sécurisé si l’option Ouvrir automatiquement les fichiers « fiables » est activée et que certaines applications ne sont pas installées. Cette mise à jour résout le problème grâce à une meilleure vérification de l’extension des noms de fichier. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X v10.4.

  • libcurl

    Référence CVE : CVE-2005-4077

    Disponible pour : Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : le traitement des URL dans libcurl peut conduire à l’exécution de code arbitraire

    Description : la bibliothèque HTTP à code source ouvert libcurl contient des dépassements de mémoire tampon dans le traitement des URL. Les applications utilisant curl pour le traitement des URL peuvent déclencher le problème et conduire à l’exécution de code arbitraire. Cette mise à jour résout le problème en intégrant libcurl 7.15.1. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4.

  • Mail

    Référence CVE : CVE-2006-1449

    Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : l’affichage d’un courriel malveillant peut conduire à l’exécution de code arbitraire

    Description : en préparant un courriel spécialement conçu avec des pièces jointes encapsulées au format MacMIME, un attaquant peut déclencher un dépassement d’entier. Cela peut conduire à l’exécution de code arbitraire avec les privilèges de l’utilisateur exécutant Mail. Cette version corrige le problème en effectuant une validation supplémentaire des courriels.

  • Mail

    Référence CVE : CVE-2006-1450

    Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : l’affichage d’un courriel malveillant peut conduire à l’exécution de code arbitraire

    Description : le traitement d’informations de couleur non valides dans des courriels au format texte enrichi peut provoquer l’allocation et l’initialisation de classes arbitraires. Cela peut conduire à l’exécution de code arbitraire avec les privilèges de l’utilisateur exécutant Mail. Cette mise à jour résout le problème en traitant correctement les données défectueuses au format texte enrichi.

  • MySQL Manager

    Référence CVE : CVE-2006-1451

    Disponible pour : Mac OS X Server 10.4.6

    Conséquence : il est possible d’accéder à la base de données MySQL avec un mot de passe vide

    Description : lors de la configuration initiale d’une base de données MySQL à l’aide de MySQL Manager, le « Nouveau mot de passe root MySQL » peut être fourni. Cependant, ce mot de passe n’est pas vraiment utilisé. En conséquence, le mot de passe root MySQL restera vide. Un utilisateur local peut alors obtenir l’accès à la base de données MySQL avec tous les privilèges. Cette mise à jour résout le problème en s’assurant que le mot de passe saisi est enregistré. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X Server 10.4. Nous remercions Ben Low, de l’Université de Nouvelle-Galles du Sud, d’avoir signalé ce problème.

  • Aperçu

    Référence CVE : CVE-2006-1452

    Disponible pour : Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : la navigation dans une hiérarchie de répertoires malveillante peut conduire à l’exécution de code arbitraire

    Description : il est possible qu’un dépassement de mémoire tampon basée sur la pile soit déclenché lorsque l’utilisateur parcourt des hiérarchies de répertoires très profondes dans Aperçu. En concevant soigneusement une telle hiérarchie de répertoires, un attaquant peut provoquer l’exécution de code arbitraire si les répertoires sont ouverts dans Aperçu. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X v10.4.

  • QuickDraw

    Référence CVE : CVE-2006-1453, CVE-2006-1454

    Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : l’affichage d’une image PICT malveillante peut conduire à l’exécution de code arbitraire

    Description : deux problèmes affectent QuickDraw lors du traitement d’images PICT. Des informations sur les polices défectueuses peuvent provoquer un dépassement de mémoire tampon basée sur la pile et des données d’image défectueuses peuvent provoquer un dépassement de mémoire tampon. En concevant soigneusement une image PICT malveillante, un attaquant peut provoquer l’exécution de code arbitraire lors de l’affichage de l’image. Cette mise à jour résout le problème en effectuant une validation supplémentaire des images PICT. Nous remercions Mike Price de McAfee AVERT Labs d’avoir signalé ce problème.

  • QuickTime Streaming Server

    Référence CVE : CVE-2006-1455

    Disponible pour : Mac OS X Server 10.3.9, Mac OS X Server 10.4.6

    Conséquence : une séquence QuickTime défectueuse peut provoquer le plantage de QuickTime Streaming Server

    Description : une séquence QuickTime à laquelle il manque une piste peut provoquer le déréférencement d’un pointeur NULL, provoquant le plantage du processus du serveur. Cela entraîne l’interruption des connexions client actives. Cependant, le serveur redémarre automatiquement. Cette mise à jour résout le problème en produisant une erreur lorsque des séquences défectueuses sont rencontrées.

  • QuickTime Streaming Server

    Référence CVE : CVE-2006-1456

    Disponible pour : Mac OS X Server 10.3.9, Mac OS X Server 10.4.6

    Conséquence : des requêtes RTSP malveillantes peuvent entraîner des plantages ou l’exécution de code arbitraire

    Description : en concevant soigneusement une requête RTSP, un attaquant peut déclencher un dépassement de mémoire tampon pendant la consignation du message. Cela peut conduire à l’exécution de code arbitraire avec les privilèges de QuickTime Streaming Server. Cette mise à jour résout le problème en traitant correctement les conditions de limites. Nous remercions l’équipe de recherche de Mu Security d’avoir signalé ce problème.

  • Ruby

    Référence CVE : CVE-2005-2337

    Disponible pour : Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : les restrictions des niveaux de sécurité de Ruby peuvent être contournées

    Description : le langage de script de Ruby contient un mécanisme appelé « niveaux de sécurité » qui est utilisé pour contrôler l’accès à certaines opérations. Ce mécanisme est fréquemment utilisé lors de l’exécution d’applications Ruby privilégiées ou d’applications réseau de Ruby. Dans certains cas, un attaquant peut contourner les restrictions dans de telles applications. Les applications qui ne dépendent pas des niveaux de sécurité ne sont pas concernées. Cette mise à jour résout le problème en s’assurant que les niveaux de sécurité ne peuvent pas être contournés.

  • Safari

    Référence CVE : CVE-2006-1457

    Disponible pour : Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Conséquence : la consultation de sites web malveillants peut conduire à la manipulation de fichiers ou à l’exécution de code arbitraire

    Description : lorsque l’option Ouvrir automatiquement les fichiers « fiables » de Safari est activée, les archives sont automatiquement décompressées. Si l’archive contient un lien symbolique, il est possible de déplacer le lien symbolique cible sur le bureau de l’utilisateur et de le lancer. Cette mise à jour résout le problème en ne résolvant pas les liens symboliques téléchargés. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X v10.4.

Date de publication: