À propos des correctifs de sécurité d’OS X Mountain Lion 10.8.3 et de la mise à jour de sécurité 2013-001
Ce document détaille les correctifs de sécurité d’OS X Mountain Lion 10.8.3 et de la mise à jour de sécurité 2013-001.
Vous pouvez télécharger et installer OS X Mountain Lion 10.8.3, ainsi que la mise à jour de sécurité 2013-001, à l’aide de Mise à jour logicielle ou à partir de la page Téléchargements du site d’Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
Remarque : OS X Mountain Lion 10.8.3 comprend les correctifs de sécurité de Safari 6.0.3. Pour obtenir des informations supplémentaires, consultez l’article À propos des correctifs de sécurité de Safari 6.0.3.
OS X Mountain Lion 10.8.3 et mise à jour de sécurité 2013-001
Apache
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.
Conséquence : un attaquant peut être en mesure d’accéder aux répertoires protégés par une authentification HTTP sans utiliser les identifiants nécessaires.
Description : la gestion des URI composés de séquences de caractères Unicode négligeables présentait un problème de normalisation. Ce problème a été résolu par la mise à jour du module mod_hfs_apple, qui empêche désormais d’accéder aux URI composés de séquences de caractères Unicode négligeables.
Référence CVE
CVE-2013-0966 : Clint Ruoho de Laconic Security.
CoreTypes
Disponible pour : OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.
Conséquence : il est possible qu’une application Java Web Start s’ouvre lors de la consultation d’un site Web malveillant, même si le module Java est désactivé.
Description : les applications Java Web Start s’exécutent même si le module Java est désactivé. Le problème a été résolu par la suppression des fichiers JNLP de la liste des types de fichiers CoreTypes fiables. Ainsi, l’application Web Start ne s’exécute pas, à moins que l’utilisateur ne l’ouvre dans le répertoire Téléchargements.
Référence CVE
CVE-2013-0967
Composants internationaux pour Unicode
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.
Conséquence : la consultation d’un site Web malveillant peut entraîner une attaque de scriptage intersites.
Description : un problème de mise en forme canonique existait au niveau de la gestion de l’encodage EUC-JP, pouvant entraîner une attaque de scriptage intersites sur les sites Web EUC-JP. Ce problème a été résolu par la mise à jour de la table d’affectation.
Référence CVE
CVE-2011-3058 : Masato Kinugawa.
Services relatifs à l’identité
Disponible pour : OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.
Conséquence : possibilité de contourner l’authentification par identifiant Apple avec certificat.
Description : un problème de gestion des erreurs se produisait avec les services relatifs à l’identité. Si le certificat de l’identifiant Apple de l’utilisateur n’avait pas été validé, son identifiant était considéré comme une chaîne vide. Si plusieurs systèmes, appartenant à des utilisateurs différents, passaient à un tel état, les applications utilisant cette forme de vérification d’identité pouvaient accroître le degré de confiance par erreur. Ce problème a été résolu par le remplacement de la chaîne vide par le résultat NULL.
Référence CVE
CVE-2013-0963
ImageIO
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.
Conséquence : l’affichage d’un fichier TIFF malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : la gestion des fichiers TIFF par libtiff présentait un problème de dépassement de la mémoire tampon. Ce problème a été résolu par une validation supplémentaire des images TIFF.
Référence CVE
CVE-2012-2088
IOAcceleratorFamily
Disponible pour : OS X Mountain Lion 10.8 à 10.8.2.
Conséquence : l’affichage d’une image malveillante peut entraîner l’arrêt inopiné du système ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existait au niveau de la gestion des données graphiques. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2013-0976 : un chercheur anonyme.
Noyau
Disponible pour : OS X Mountain Lion 10.8 à 10.8.2.
Conséquence : des applications malveillantes ou corrompues peuvent être en mesure de déterminer des adresses du noyau.
Description : un problème de divulgation d’informations se produisait au niveau de la gestion des API dans le cadre des extensions de noyau. Les réponses contenant une clé OSBundleMachOHeaders pouvaient inclure des adresses du noyau. Ceci permettait notamment de contourner le système de protection de la randomisation de la disposition de l’espace d’adressage. Ce problème a été résolu par l’annulation du glissement des adresses avant de les renvoyer.
Référence CVE
CVE-2012-3749 : Mark Dowd d’Azimuth Security, Eric Monti de Square et d’autres chercheurs anonymes.
Fenêtre d’ouverture de session
Disponible pour : OS X Mountain Lion 10.8 à 10.8.2.
Conséquence : il est possible qu’un attaquant disposant d’un accès par clavier soit en mesure de modifier la configuration du système.
Description : la gestion de la fenêtre d’ouverture de session par VoiceOver présentait une erreur logique qui permettait à un attaquant disposant d’un accès par clavier de lancer les Préférences Système et de modifier les configurations du système. Le problème a été résolu en empêchant l’ouverture d’applications lors de l’affichage de la fenêtre d’ouverture de session dans VoiceOver.
Référence CVE
CVE-2013-0969 : Eric A. Schulman de Purpletree Labs.
Messages
Disponible pour : OS X Mountain Lion 10.8 à 10.8.2.
Conséquence : la sélection d’un lien dans l’application Messages peut entraîner le démarrage d’un appel FaceTime sans notification.
Description : la sélection d’une URL formatée pour FaceTime dans l’application Messages peut conduire le système à ignorer l’invite de confirmation standard. Le problème a été résolu par une validation supplémentaire des URL FaceTime.
Référence CVE
CVE-2013-0970 : Aaron Sigel de vtty.com.
Messages Server
Disponible pour : Mac OS X Server 10.6.8, OS X Lion Server 10.7 à 10.7.5.
Conséquence : un attaquant distant peut rediriger les messages Jabber fédérés.
Description : un problème existait au niveau du traitement par le serveur Jabber des messages de résultat des rappels. Un attaquant pouvait entraîner la divulgation, par le serveur Jabber, d’informations à l’attention des utilisateurs de serveurs fédérés. Ce problème a été résolu par un meilleur traitement des messages de résultat des rappels.
Référence CVE
CVE-2012-3525
PDFKit
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.
Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.
Description : la gestion des annotations manuscrites dans les fichiers PDF présente un problème d’utilisation ultérieure libre. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2013-0971 : Tobias Klein, en collaboration avec le programme Zero Day Initiative d’HP TippingPoint.
Podcast Producer Server
Disponible pour : Mac OS X Server 10.6.8, OS X Lion Server 10.7 à 10.7.5.
Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code.
Description : la gestion des paramètres XML par Ruby on Rails présentait un problème de conversion de type. Ce problème a été résolu par la désactivation des paramètres XML dans l’implémentation Rails utilisée par Podcast Producer Server.
Référence CVE
CVE-2013-0156
Podcast Producer Server
Disponible pour : OS X Lion Server 10.7 à 10.7.5.
Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code.
Description : la gestion des données JSON par Ruby on Rails présentait un problème de conversion de type. Ce problème a été résolu par l’utilisation du backend JSONGem pour l’analyse JSON dans l’implémentation Rails utilisée par Podcast Producer Server.
Référence CVE
CVE-2013-0333
PostgreSQL
Disponible pour : Mac OS X Server 10.6.8, OS X Lion Server 10.7 à 10.7.5.
Conséquence : PostgreSQL présente plusieurs vulnérabilités.
Description : la mise à jour 9.1.5 de PostgreSQL permet de remédier aux différentes vulnérabilités, la plus grave étant susceptible de permettre aux utilisateurs de base de données de lire des fichiers stockés dans le système de fichiers avec les privilèges liés au compte de rôle du serveur de base de données. Des informations supplémentaires sont disponibles sur le site Web de PostgreSQL, à l’adresse http://www.postgresql.org/docs/9.1/static/release-9-1-5.html
Référence CVE
CVE-2012-3488
CVE-2012-3489
Gestionnaire de profils
Disponible pour : OS X Lion Server 10.7 à 10.7.5.
Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code.
Description : la gestion des paramètres XML par Ruby on Rails présentait un problème de conversion de type. Ce problème a été résolu par la désactivation des paramètres XML dans l’implémentation Rails utilisée par le gestionnaire de profils.
Référence CVE
CVE-2013-0156
QuickTime
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.
Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : la gestion des pavés rnet dans les fichiers MP4 présentait un problème de dépassement de la mémoire tampon. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2012-3756 : Kevin Szkudlapski de QuarksLab.
Ruby
Disponible pour : Mac OS X Server 10.6.8.
Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code si une application Rails est en cours d’exécution.
Description : la gestion des paramètres XML par Ruby on Rails présentait un problème de conversion de type. Ce problème a été résolu par la désactivation du format YAML et des symboles utilisés par les paramètres XML de Rails.
Référence CVE
CVE-2013-0156
Sécurité
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.
Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter les identifiants de l’utilisateur ou d’autres données sensibles.
Description : plusieurs certificats d’autorité de certification intermédiaire ont été délivrés par erreur par TURKTRUST. Un attaquant de type « homme du milieu » peut être en mesure de rediriger les connexions et d’intercepter les informations d’identification de l’utilisateur ou d’autres données sensibles. Ce problème a été résolu par l’interdiction des certificats SSL incorrects.
Mise à jour de logiciels
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5 et OS X Lion Server 10.7 à 10.7.5.
Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut provoquer l’exécution arbitraire de code.
Description : l’application Mise à jour de logiciels a permis à un « homme du milieu » d’insérer du contenu de module dans le texte marketing utilisé pour les mises à jour. Ceci est susceptible de permettre l’exploitation d’un module vulnérable ou de faciliter les attaques d’ingénierie sociale à l’encontre des modules. Ce problème n’affecte pas les systèmes OS X Mountain Lion. Ce problème a été résolu en empêchant les modules d’être chargés dans les textes marketing de Mise à jour de logiciels (WebView).
Référence CVE
CVE-2013-0973 : Emilio Escobar.
Wiki Server
Disponible pour : OS X Lion Server 10.7 à 10.7.5.
Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code.
Description : la gestion des paramètres XML par Ruby on Rails présentait un problème de conversion de type. Ce problème a été résolu par la désactivation des paramètres XML dans l’implémentation Rails utilisée par Wiki Server.
Référence CVE
CVE-2013-0156
Wiki Server
Disponible pour : OS X Lion Server 10.7 à 10.7.5.
Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code.
Description : la gestion des données JSON par Ruby on Rails présentait un problème de conversion de type. Ce problème a été résolu par l’utilisation du backend JSONGem pour l’analyse JSON dans l’implémentation Rails utilisée par Wiki Server.
Référence CVE
CVE-2013-0333
Suppression des logiciels malveillants
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2.
Description : avec cette mise à jour, il est possible d’exécuter un utilitaire permettant de supprimer les logiciels malveillants et leurs variantes les plus courantes. Si un logiciel malveillant est détecté par l’utilitaire, une boîte de dialogue s’affiche et vous indique qu’il a été supprimé. Aucune boîte de dialogue ne s’affiche si le logiciel malveillant n’est pas détecté.
FaceTime n’est pas disponible dans certains pays ou certaines régions.
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.