À propos des correctifs de sécurité d’OS X Lion 10.7.2 et de la mise à jour de sécurité 2011-006

Ce document décrit les correctifs de sécurité d’OS X Lion 10.7.2 et de la mise à jour de sécurité 2011-006.

Ce document détaille les correctifs de sécurité d’OS X Lion 10.7.2 et de la mise à jour de sécurité 2011-006, que vous pouvez télécharger et installer par l’intermédiaire de Mise à jour logicielle ou depuis la page Téléchargements du site d’assistance Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
 

OS X Lion 10.7.2 et mise à jour de sécurité 2011-006

  • Apache

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : Apache présente plusieurs vulnérabilités.

    Description : la mise à jour 2.2.20 d’Apache permet de remédier à plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner un refus de service. Ce problème n’affecte pas les systèmes OS X Lion. Des informations supplémentaires sont disponibles sur le site Web d’Apache, à l’adresse http://httpd.apache.org/.

    Référence CVE

    CVE-2011-0419

    CVE-2011-3192

  • Coupe-feu applicatif

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : l’exécution d’un fichier binaire portant un nom malveillant peut entraîner une exécution arbitraire de code avec des privilèges élevés.

    Description : la journalisation de débogage du coupe-feu d’application présente une vulnérabilité au niveau de la chaîne de format.

    Référence CVE

    CVE-2011-0185 : un contributeur anonyme.

  • ATS

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : l’affichage ou le téléchargement d’un document contenant une police malveillante peut entraîner l’exécution arbitraire de code.

    Description : la gestion de polices Type 1, dans ATS, présente un problème de signe. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3437

  • ATS

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : l’affichage ou le téléchargement d’un document contenant une police malveillante peut entraîner l’exécution arbitraire de code.

    Description : la gestion de polices Type 1, dans ATS, présente un problème d’accès mémoire hors limites. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0229 : Will Dormann du CERT/CC.

  • ATS

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : les applications qui utilisent l’API ATSFontDeactivate peuvent être sujettes à une interruption inopinée ou à l’exécution arbitraire de code.

    Description : l’API ATSFontDeactivate présente un problème de dépassement de la mémoire tampon.

    Référence CVE

    CVE-2011-0230 : Steven Michaud de Mozilla.

  • BIND

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : BIND 9.7.3 présente plusieurs vulnérabilités.

    Description : BIND 9.7.3 présente plusieurs problèmes de refus de service. La mise à jour de BIND vers la version 9.7.3-P3 permet de résoudre ces problèmes.

    Référence CVE

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : BIND présente plusieurs vulnérabilités.

    Description : BIND présente plusieurs problèmes de refus de service. Ces problèmes sont résolus par la mise à jour de BIND vers la version 9.6-ESV-R4-P3.

    Référence CVE

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Politique de fiabilité des certificats

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : des certificats racines ont été mis à jour.

    Description : plusieurs certificats de confiance ont été ajoutés à la liste de racines système. La version la plus récente de plusieurs certificats existants a été installée. L’application Trousseau d’accès permet de consulter la liste complète des certificats racine système reconnus.

  • CFNetwork

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : il arrive que Safari stocke des cookies qui ne devraient pas être acceptés.

    Description : la gestion par CFNetwork des règles en matière de cookies présente un problème de synchronisation. Les préférences relatives aux cookies de Safari risquent de ne pas être respectées, permettant ainsi à certains sites Web de configurer des cookies qui sont normalement bloqués lorsque la préférence est appliquée. Ce problème est résolu par une gestion améliorée du stockage des cookies.

    Référence CVE

    CVE-2011-0231 : Martin Tessarek, Steve Riggins de Geeks R Us, Justin C. Walker et Stephen Creswell.

  • CFNetwork

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : la consultation d’un site Web malveillant peut provoquer la divulgation d’informations confidentielles.

    Description : la gestion des cookies HTTP par CFNetwork présente un problème. En cas d’accès à une URL HTTP ou HTTPS malveillante, CFNetwork peut envoyer à tort les cookies d’un domaine à un serveur extérieur à ce domaine. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3246 : Erling Ellingsen de Facebook.

  • CoreFoundation

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : la visualisation d’un site Web ou d’un e-mail malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion, par CoreFoundation, de la création de jetons pour des chaînes de caractères présente un problème de corruption de la mémoire. Ce problème n’affecte pas les systèmes OS X Lion. Ce problème est résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2011-0259 : Apple.

  • CoreMedia

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : la consultation d’un site Web malveillant peut entraîner la divulgation de données vidéo issues d’un autre site.

    Description : la gestion, par CoreMedia, des redirections intersites présente un problème d’origines multiples. Ce problème est résolu par un meilleur suivi de l’origine.

    Référence CVE

    CVE-2011-0187 : Nirankush Panchbhai et Microsoft Vulnerability Research (MSVR).

  • CoreMedia

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion des fichiers vidéo QuickTime présente plusieurs problèmes de corruption de la mémoire. Ces problèmes n’affectent pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0224 : Apple.

  • CoreProcesses

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : une personne disposant d’un accès physique à un système peut contourner partiellement le système de verrouillage de l’écran.

    Description : une fenêtre système, telle qu’une invite de mot de passe VPN, qui est apparue alors que l’écran était verrouillé, peut accepter des saisies au clavier malgré le verrouillage de l’écran. Ce problème est résolu en empêchant les fenêtres système de nécessiter des saisies au clavier lorsque l’écran est verrouillé. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-0260 : Clint Tseng de l’Université de Washington, Michael Kobb et Adam Kemp.

  • CoreStorage

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : la conversion FileVault n’efface pas toutes les données existantes.

    Description : après l’activation de FileVault, environ 250 Mo de données non chiffrées sont conservés dans une zone inutilisée du disque au début du volume. Seules les données présentes sur le volume avant l’activation de FileVault n’étaient pas chiffrées. Ce problème est résolu par la suppression de cette zone lors de l’activation de FileVault, ainsi que lors de la première utilisation d’un volume chiffré touché par ce problème. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3212 : Judson Powers d’ATC-NY.

  • Systèmes de fichiers

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : il est possible qu’un attaquant disposant d’une position privilégiée sur le réseau manipule des certificats du serveur HTTPS et provoque la divulgation d’informations sensibles.

    Description : la gestion des volumes WebDAV sur les serveurs HTTPS présente un problème. Si le serveur présente une chaîne de certificat qui ne peut pas être vérifiée automatiquement, un avertissement s’affiche et la connexion est interrompue. Si l’utilisateur clique sur le bouton Continuer dans la boîte de dialogue d’avertissement, un certificat quelconque est accepté lors de la connexion suivante à ce serveur. Il est possible qu’un attaquant disposant d’une position privilégiée sur le réseau manipule la connexion pour obtenir des informations sensibles ou effectuer des actions sur le serveur au nom de l’utilisateur. Ce problème est résolu en vérifiant que le certificat reçu lors de la deuxième connexion est identique à celui présenté initialement à l’utilisateur.

    Référence CVE

    CVE-2011-3213 : Apple.

  • IOGraphics

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : il est possible qu’une personne disposant d’un accès physique puisse contourner le système de verrouillage de l’écran.

    Description : le verrouillage de l’écran présente un problème en cas d’utilisation avec des moniteurs Apple Cinema Display. Lorsqu’un mot de passe est requis pour sortir du mode veille, il est possible qu’une personne disposant d’un accès physique puisse accéder au système, sans saisir de mot de passe, si le système est en mode de suspension d’activité du moniteur. Le problème est résolu par l’activation correcte du verrouillage de l’écran en mode de suspension d’activité du moniteur. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-3214 : Apple.

  • Serveur iChat

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : il est possible qu’un attaquant à distance provoque une utilisation excessive des ressources système par le serveur Jabber.

    Description : la gestion des entités externes XML dans jabberd2, un serveur utilisé pour le protocole XMPP (Extensible Messaging and Presence Protocol), présente un problème. jabberd2 développe les entités externes dans les requêtes entrantes. Les attaquants peuvent ainsi exploiter très rapidement les ressources système, empêchant les utilisateurs légitimes du serveur d’y accéder. Ce problème est résolu par la désactivation de l’extension des entités dans les requêtes entrantes.

    Référence CVE

    CVE-2011-1755

  • Noyau

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : il est possible qu’une personne disposant d’un accès physique puisse accéder au mot de passe de l’utilisateur.

    Description : une erreur de logique, au niveau de la protection DMA du noyau, autorise l’accès direct à la mémoire FireWire à l’ouverture de la fenêtre de connexion, au démarrage et à la fermeture, mais pas en cas de verrouillage de l’écran. Ce problème est résolu en empêchant l’accès direct à la mémoire FireWire dans tous les états lorsque l’utilisateur n’est pas connecté.

    Référence CVE

    CVE-2011-3215 : Passware, Inc.

  • Noyau

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : il est possible qu’un utilisateur ne disposant pas de privilèges puisse supprimer les fichiers d’un autre utilisateur dans un répertoire partagé.

    Description : la gestion par le noyau des suppressions de fichiers dans les répertoires contenant le bit de rappel présente une erreur de logique.

    Référence CVE

    CVE-2011-3216 : Gordon Davisson de Crywolf, Linc Davis, R. Dormer et Allan Schmid et Oliver Jeckel de brainworks Training.

  • libsecurity

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : la visualisation d’un site Web ou d’un e-mail malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : l’analyse d’une extension de liste de révocation des certificats non standard présente un problème de traitement des erreurs.

    Référence CVE

    CVE-2011-3227 : Richard Godbee de Virginia Tech.

  • Mailman

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : Mailman 2.1.14 présente plusieurs vulnérabilités.

    Description : Mailman 2.1.14 présente plusieurs problèmes de scriptage intersites. Ces problèmes sont résolus par une amélioration de l’encodage des caractères dans la sortie HTML. Des informations supplémentaires sont disponibles sur le site de Mailman à l’adresse http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0707

  • MediaKit

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : l’ouverture d’une image disque malveillante peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion d’images disque présente plusieurs problèmes de corruption de la mémoire. Ces problèmes n’affectent pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-3217 : Apple.

  • Open Directory

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : n’importe quel utilisateur peut lire les données de mot de passe d’un autre utilisateur.

    Description : Open Directory présente un problème de contrôle d’accès. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3435 : Arek Dreyer de Dreyer Network Consultants, Inc, et Patrick Dunstan de defenseindepth.net.

  • Open Directory

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : un utilisateur authentifié peut modifier le mot de passe du compte sans saisir le mot de passe actuel.

    Description : Open Directory présente un problème de contrôle d’accès. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3436 : Patrick Dunstan de defenceindepth.net.

  • Open Directory

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : un utilisateur peut se connecter sans mot de passe.

    Description : lorsqu’Open Directory est lié à un serveur LDAPv3 à l’aide de RFC2307 ou de mappages personnalisés, de sorte qu’aucun attribut AuthenticationAuthority n’existe pour un utilisateur, un utilisateur LDAP peut être autorisé à se connecter sans mot de passe. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3226 : Jeffry Strunk de l’Université du Texas à Austin, Steven Eppler de la Colorado Mesa University, Hugh Cole-Baker et Frederic Metoz de l’Institut de Biologie Structurale.

  • PHP

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion de polices Type 1, par FreeType, présente un problème de signe. Ce problème est résolu par la mise à jour de FreeType vers la version 2.4.6. Il n’affecte pas les systèmes antérieurs à OS X Lion. Pour obtenir des informations supplémentaires, consultez le site FreeType à l’adresse http://www.freetype.org/.

    Référence CVE

    CVE-2011-0226

  • PHP

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : la version 1.4.3 de libpng présente plusieurs vulnérabilités.

    Description : la mise à jour 1.5.4 de libpng permet de remédier à plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner une exécution arbitraire de code. Des informations supplémentaires sont disponibles sur le site Web de libpng, à l’adresse http://www.libpng.org/pub/png/libpng.html.

    Référence CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : PHP 5.3.4 présente plusieurs vulnérabilités.

    Description : la mise jour 5.3.6 de PHP permet de remédier à plusieurs vulnérabilités, la plus grave étant susceptible d’entraîner une exécution arbitraire de code. Ces problèmes n’affectent pas les systèmes OS X Lion. Des informations supplémentaires sont disponibles sur le site Web de PHP, à l’adresse http://www.php.net.

    Référence CVE

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : Postfix présente plusieurs vulnérabilités.

    Description : la mise jour 2.5.14 de Postfix permet de remédier à plusieurs vulnérabilités, la plus grave étant susceptible de permettre à un attaquant disposant d’une position privilégiée sur le réseau de manipuler la session de messagerie afin d’obtenir des informations confidentielles à partir du trafic chiffré. Ces problèmes n’affectent pas les systèmes OS X Lion. Pour obtenir des informations supplémentaires, consultez le site Web de Postfix à l’adresse http://www.postfix.org/announcements/postfix-2.7.3.html.

    Référence CVE

    CVE-2011-0411

    CVE-2011-1720

  • python

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : python présente plusieurs vulnérabilités.

    Description : python présente plusieurs vulnérabilités, la plus grave étant susceptible d’entraîner une exécution arbitraire de code. Ces problèmes sont résolus par l’application des correctifs fournis dans le cadre du projet python. Pour obtenir des informations supplémentaires, consultez le site de python à l’adresse http://www.python.org/download/releases/.

    Référence CVE

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion des fichiers vidéo par QuickTime présente plusieurs problèmes de corruption de la mémoire.

    Référence CVE

    CVE-2011-3228 : Apple.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion des atomes STSC, dans les fichiers vidéo QuickTime, présente un dépassement de mémoire tampon. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0249 : Matt 'j00ru' Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion des atomes STSS dans les fichiers vidéo QuickTime présente un dépassement de mémoire tampon. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0250 : Matt 'j00ru' Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion des atomes STSZ dans les fichiers vidéo QuickTime présente un dépassement de mémoire tampon. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0251 : Matt 'j00ru' Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion des atomes STTS dans les fichiers vidéo QuickTime présente un dépassement de mémoire tampon. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0252 : Matt 'j00ru' Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : un attaquant disposant d’une position privilégiée sur le réseau peut injecter un script dans le domaine local lors de la visualisation d’un modèle HTML.

    Description : l’exportation via la fonction « Enregistrer pour le Web », dans QuickTime Player, présente un problème de scriptage intersites. Les fichiers modèles HTML générés par cette fonction font référence à un fichier de script provenant d’une source non chiffrée. Un attaquant disposant d’une position privilégiée sur le réseau peut injecter des scripts malveillants dans le domaine local si l’utilisateur visualise un fichier modèle au niveau local. Ce problème est résolu par la suppression de la référence à un script en ligne. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-3218 : Aaron Sigel de vtty.com.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion par QuickTime des fichiers vidéo encodés au format H.264 présente un dépassement de mémoire tampon.

    Référence CVE

    CVE-2011-3219 : Damian Put en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la divulgation du contenu de la mémoire.

    Description : la gestion par QuickTime des gestionnaires de données URL, dans les fichiers vidéo, présente un problème d’accès mémoire non initialisé.

    Référence CVE

    CVE-2011-3220 : Luigi Auriemma en collaboration avec Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion par QuickTime de la hiérarchie des atomes, dans un fichier vidéo, présente un problème de mise en œuvre.

    Référence CVE

    CVE-2011-3221 : un chercheur anonyme en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : l’ouverture d’un fichier FlashPix malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion des fichiers FlashPix par QuickTime présente un dépassement de mémoire tampon.

    Référence CVE

    CVE-2011-3222 : Damian Put en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion des fichiers FLIC par QuickTime présente un dépassement de mémoire tampon.

    Référence CVE

    CVE-2011-3223 : Matt 'j00ru' Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • Serveur de fichiers SMB

    Disponible pour : OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : un utilisateur invité peut parcourir les dossiers partagés.

    Description : le serveur de fichiers SMB présente un problème de contrôle d’accès. La désactivation de l’accès invité à l’enregistrement du point de partage d’un dossier empêche l’utilisateur « _unknown » de parcourir le point de partage mais pas les invités (utilisateur « nobody »). Ce problème est résolu par l’application du contrôle d’accès à l’utilisateur invité. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3225

  • Tomcat

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : Tomcat 6.0.24 présente plusieurs vulnérabilités.

    Description : la mise à jour 6.0.32 de Tomcat permet de remédier à plusieurs vulnérabilités, la plus importante étant susceptible de provoquer une attaque de scriptage intersite. Tomcat est fourni uniquement sur les systèmes Mac OS X Server. Ce problème n’affecte pas les systèmes OS X Lion. Pour obtenir des informations supplémentaires, consultez le site de Tomcat à l’adresse http://tomcat.apache.org/.

    Référence CVE

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Documentation de l’utilisateur

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : un attaquant disposant d’une position privilégiée sur le réseau peut manipuler le contenu de l’aide de l’App Store et provoquer une exécution arbitraire de code.

    Description : le contenu de l’aide de l’App Store a été mis à jour via HTTP. Ce problème est résolu par l’actualisation du contenu de l’aide de l’App Store via HTTPS. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-3224 : Aaron Sigel de vtty.com et Brian Mastenbrook.

  • Serveur Web

    Disponible pour : Mac OS X Server 10.6.8.

    Conséquence : les clients peuvent ne pas avoir accès à des services Web exigeant une authentification Digest.

    Description : un problème se produisait au niveau de la gestion de l’authentification HTTP Digest. Les utilisateurs peuvent se voir refuser l’accès à des ressources du serveur, alors que la configuration de celui-ci aurait dû leur autoriser cet accès. Ce problème ne constitue pas un risque en matière de sécurité et a été résolu afin de faciliter l’utilisation de mécanismes d’authentification plus robustes. Les systèmes exécutant OS X Lion Server ne sont pas affectés par ce problème.

  • X11

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 et 10.7.1, OS X Lion Server 10.7 et 10.7.1.

    Conséquence : vulnérabilités multiples dans libpng.

    Description : libpng présente plusieurs vulnérabilités, la plus grave étant susceptible d’entraîner une exécution arbitraire de code. Ces problèmes sont résolus par la mise à jour de libpng vers la version 1.5.4 sur les systèmes OS Lion et vers la version 1.2.46 sur les systèmes Mac OS X 10.6. Des informations supplémentaires sont disponibles sur le site Web de libpng, à l’adresse http://www.libpng.org/pub/png/libpng.html.

    Référence CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Dernière modification:
Avez-vous trouvé cet article utile ?

Informations supplémentaires relatives à l’assistance produit

France (Français)