À propos des correctifs de sécurité d’OS X Mountain Lion 10.8.5 et de la mise à jour de sécurité 2013-004

Ce document détaille les correctifs de sécurité d’OS X Mountain Lion 10.8.5 et de la mise à jour de sécurité 2013-004.

Ils peuvent être téléchargés et installés via les préférences de Mises à jour de logiciels ou sur la page Téléchargements d’Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

OS X Mountain Lion 10.8.5 et mise à jour de sécurité 2013-004

  • Apache

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : présence de plusieurs failles de sécurité dans Apache

    Description : de nombreuses failles de sécurité existaient dans Apache, dont les plus graves pouvaient entraîner une attaque de type « injection de code indirect ». Ces problèmes ont été résolus par la mise à jour d’Apache vers la version 2.2.24.

    Références CVE

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : présence de plusieurs failles de sécurité dans BIND

    Description : de nombreuses failles de sécurité existaient dans BIND, dont les plus graves pouvaient entraîner un déni de service. Ces problèmes ont été résolus par la mise à jour de BIND vers la version 9.8.5-P1. CVE-2012-5688 ne concerne pas les systèmes Mac OS X 10.7.

    Référence CVE

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : des certificats racine ont été mis à jour

    Description : plusieurs certificats ont été ajoutés à la liste des racines système ou en ont été retirés. La liste complète des racines système reconnues peut être consultée via l’application Keychain Access.

  • ClamAV

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5 et OS X Lion Server 10.7.5

    Conséquence : présence de plusieurs failles de sécurité dans ClamAV

    Description : de nombreuses failles de sécurité existaient dans ClamAV, dont les plus graves pouvaient entraîner l’exécution arbitraire de code. Ce problème a été résolu par la mise à jour de ClamAV vers la version 0.97.8

    Référence CVE

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : l’affichage d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

    Description : il existait un dépassement de mémoire tampon dans la gestion des données JBIG2 encodées dans les fichiers PDF. Ce problème a été résolu par une vérification supplémentaire des limites.

    Référence CVE

    CVE-2013-1025 : Felix Groebert de l’équipe de sécurité Google

  • ImageIO

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : l’affichage d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

    Description : il existait un dépassement de mémoire tampon dans la gestion des données JPEG2000 encodées dans les fichiers PDF. Ce problème a été résolu par une vérification supplémentaire des limites.

    Référence CVE

    CVE-2013-1026 : Felix Groebert de l’équipe de sécurité Google

  • Installer

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : des paquets pouvaient être ouverts après la révocation du certificat

    Description : quand Installer rencontrait un certificat révoqué, il présentait une boîte de dialogue avec une option pour continuer. Ce problème a été résolu par la suppression de la boîte de dialogue et le refus de tout paquet révoqué.

    Référence CVE

    CVE-2013-1027

  • IPSec

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : un attaquant peut intercepter des données protégées par IPSec Hybrid Auth

    Description : le nom DNS d’un serveur IPSec Hybrid Auth n’était pas comparé au certificat, ce qui permettait à un attaquant disposant d’un certificat pour n’importe quel serveur d’usurper l’identité d’un autre. Ce problème a été résolu par une vérification appropriée du certificat.

    Référence CVE

    CVE-2013-1028 : Alexander Traud de www.traud.de

  • Kernel

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : un utilisateur du réseau local peut provoquer un déni de service

    Description : une vérification incorrecte dans le code d’analyse des paquets IGMP dans le noyau a permis à un utilisateur qui pouvait envoyer des paquets IGMP au système de provoquer une panique dans le noyau. Ce problème a été résolu par la suppression des vérifications.

    Référence CVE

    CVE-2013-1029 : Christopher Bohn de PROTECTSTAR INC.

  • Mobile Device Management

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : les mots de passe peuvent être divulgués à d’autres utilisateurs locaux

    Description : un mot de passe a été transmis à mdmclient sur la ligne de commande, ce qui l’a rendu visible par les autres utilisateurs du même système. Ce problème a été résolu en communiquant le mot de passe par l’intermédiaire d’un canal.

    Référence CVE

    CVE-2013-1030 : Per Olofsson de l’Université de Göteborg

  • OpenSSL

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : présence de plusieurs failles de sécurité dans OpenSSL

    Description : de nombreuses failles de sécurité existaient dans OpenSSL, dont les plus graves pouvaient entraîner la divulgation de données utilisateur. Ce problème a été résolu par la mise à jour d’OpenSSL vers la version 0.9.8y.

    Référence CVE

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : présence de plusieurs failles de sécurité dans PHP

    Description : de nombreuses failles de sécurité existaient dans PHP, dont les plus graves pouvaient entraîner l’exécution arbitraire de code. Ces problèmes ont été résolus par la mise à jour de PHP vers la version 5.3.26

    Références CVE

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : présence de plusieurs failles de sécurité dans PostgreSQL

    Description : de nombreuses failles de sécurité existaient dans PostgreSQL, dont les plus graves pouvaient entraîner une corruption des données ou une escalade des privilèges. CVE-2013-1901 ne concerne pas les systèmes OS X Lion. Ce problème a été résolu par la mise à jour de PostgreSQL vers la version 9.1.9 sur les systèmes OS X Mountain Lion et 9.0.4 sur les systèmes OS X Lion.

    Référence CVE

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : l’économiseur d’écran ne se lançait pas systématiquement une fois le délai spécifié écoulé

    Description : il existait un problème de verrouillage de l’assertion de puissance. Ce problème a été résolu par une meilleure gestion du verrouillage.

    Référence CVE

    CVE-2013-1031

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : la lecture d’un fichier vidéo malveillant pourrait entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

    Description : un problème de corruption de la mémoire existait dans la gestion des atomes idsc dans les fichiers vidéo QuickTime. Ce problème a été résolu par une vérification supplémentaire des limites.

    Référence CVE

    CVE-2013-1032 : Jason Kratzer en collaboration avec iDefense VCP

  • Screen Lock

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : un utilisateur ayant accès au partage d’écran pourrait contourner le verrouillage de l’écran lorsqu’un autre utilisateur est connecté

    Description : un problème existait dans la gestion des sessions de partage d’écran par le verrouillage d’écran. Ce problème a été résolu par un meilleur suivi des sessions.

    Référence CVE

    CVE-2013-1033 : Jeff Grisso d’Atos IT Solutions, Sébastien Stormacq

  • sudo

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4

    Conséquence : un attaquant contrôlant le compte utilisateur d’un administrateur pourrait obtenir les privilèges de l’administrateur sans connaître son mot de passe utilisateur

    Description : en réglant l’horloge du système, un attaquant pourrait utiliser sudo pour obtenir des privilèges de root sur des systèmes où sudo a été utilisé auparavant. Sous OS X, seuls les utilisateurs administrateurs peuvent modifier l’horloge système. Ce problème a été résolu en vérifiant si l’horodatage n’était pas invalide.

    Référence CVE

    CVE-2013-1775

  • Remarque : OS X Mountain Lion 10.8.5 corrige également un problème susceptible d’entraîner un arrêt inattendu des applications à cause de certaines chaînes Unicode.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: