Ceux-ci peuvent être téléchargés et installés via les préférences de Mise à jour logicielle, ou à partir de la page des téléchargements Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
OS X Mountain Lion 10.8.5 et mise à jour de sécurité 2013-004
-
Apache
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : Apache présente plusieurs vulnérabilités.
Description : plusieurs vulnérabilités existaient dans Apache, la plus importante pouvant provoquer un scriptage intersite. Ces problèmes ont été résolus par la mise à jour d’Apache vers la version 2.2.24.
Référence CVE
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
-
BIND
Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : BIND présente plusieurs vulnérabilités.
Description : plusieurs vulnérabilités existaient dans BIND, la plus grave pouvant provoquer un déni de service. Ces problèmes ont été résolus par la mise à jour de BIND vers la version 9.8.5-P1. La référence CVE-2012-5688 ne s’appliquait pas aux systèmes exécutant Mac OS X 10.7.
Référence CVE
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
-
Politique de fiabilité des certificats
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : des certificats racines ont été mis à jour.
Description : plusieurs certificats ont été ajoutés à la liste des racines système, ou retirés de celle-ci. L’application Trousseau d’accès permet de consulter la liste complète des certificats racine système reconnus.
-
ClamAV
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5.
Conséquences : ClamAV comporte plusieurs vulnérabilités.
Description : ClamAV présente plusieurs vulnérabilités, la plus grave pouvant entraîner l’exécution arbitraire de code. Cette mise à jour permet de résoudre ces problèmes par le biais de la mise à jour de ClamAV vers la version 0.97.8.
Référence CVE
CVE-2013-2020
CVE-2013-2021
-
CoreGraphics
Disponible pour : OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.
Description : un dépassement de la mémoire tampon se produisait lors du traitement des données chiffrées JBIG2 dans les fichiers PDF. Ce problème a été résolu par une vérification supplémentaire des limites.
Référence CVE
CVE-2013-1025 : Felix Groebert de l’équipe de sécurité de Google.
-
ImageIO
Disponible pour : OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.
Description : un dépassement de la mémoire tampon se produisait lors du traitement des données chiffrées JPEG2000 dans les fichiers PDF. Ce problème a été résolu par une vérification supplémentaire des limites.
Référence CVE
CVE-2013-1026 : Felix Groebert de l’équipe de sécurité de Google.
-
Programme d’installation
Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : des paquets peuvent être ouverts après la révocation d’un certificat.
Description : lorsque le programme d’installation traitait un certificat révoqué, celui-ci entraînait l’affichage d’une boîte de dialogue comprenant une option permettant de poursuivre. Ce problème a été résolu par la suppression de cette boîte de dialogue et par le rejet de tout paquet révoqué.
Référence CVE
CVE-2013-1027
-
IPSec
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : un attaquant est en mesure d’intercepter des données protégées par un processus d’authentification hybride IPSec.
Description : le nom DNS d’un serveur avec authentification hybride IPSec n’était pas associé au certificat. Ainsi, un attaquant disposant d’un certificat correspondant à tout type de serveur pouvait se faire passer pour un autre serveur. Ce problème a été résolu par une meilleure validation du certificat.
Référence CVE
CVE-2013-1028 : Alexander Traud de www.traud.de
-
Noyau
Disponible pour : OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : l’utilisateur d’un réseau local peut entrainer un déni de service.
Description : une vérification incorrecte au niveau du code d’analyse du paquet IGMP, dans le noyau, permettait à un utilisateur (habilité à envoyer des paquets IGMP au système) de provoquer une erreur grave du noyau. Ce problème a été résolu par le retrait de la vérification.
Référence CVE
CVE-2013-1029 : Christopher Bohn de PROTECTSTAR INC.
-
Gestion des périphériques mobiles
Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : les mots de passe peuvent être divulgués à d’autres utilisateurs locaux.
Description : un mot de passe était transmis en ligne de commande au client MDM, ce qui permettait sa divulgation à d’autres utilisateurs du même système. Le problème a été résolu par la communication du mot de passe via un canal.
Référence CVE
CVE-2013-1030 : Per Olofsson de l’université de Göteborg.
-
OpenSSL
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : plusieurs vulnérabilités affectent OpenSSL.
Description : il existait plusieurs vulnérabilités dans OpenSSL, la plus grave pouvant entraîner la divulgation de données utilisateur. Ces problèmes ont été résolus par la mise à jour d’OpenSSL vers la version 0.9.8y.
Référence CVE
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
-
PHP
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : PHP présente plusieurs vulnérabilités.
Description : PHP présentait plusieurs vulnérabilités, la plus grave étant susceptible d’entraîner une exécution arbitraire de code. Ces problèmes ont été résolus par la mise à jour de PHP vers la version 5.3.26.
Référence CVE
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
-
PostgreSQL
Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : PostgreSQL présente plusieurs vulnérabilités.
Description : PostgreSQL présentait plusieurs vulnérabilités, la plus grave pouvant entraîner une corruption des données ou une augmentation du niveau des privilèges. La référence CVE-2013-1901 n’affecte pas les systèmes exécutant OS X Lion. Cette mise à jour permet de résoudre ces problèmes par le biais de la mise à jour de PostgreSQL vers la version 9.1.9 sur les systèmes OS X Mountain Lion, et vers la version 9.0.4 sur les systèmes OS X Lion.
Référence CVE
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
-
Gestion de l’alimentation
Disponible pour : OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : l’économiseur d’écran peut ne pas démarrer après l’intervalle de temps indiqué.
Description : un problème existait au niveau de l’application d’un verrouillage affectant l’alimentation. Ce problème a été résolu par une meilleure gestion du verrouillage.
Référence CVE
CVE-2013-1031
-
QuickTime
Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : il existait un problème de corruption de mémoire au niveau de la gestion des atomes idsc dans les fichiers vidéo QuickTime. Ce problème a été résolu par une vérification supplémentaire des limites.
Référence CVE
CVE-2013-1032 : Jason Kratzer en collaboration avec iDefense VCP.
-
Verrouillage de l’écran
Disponible pour : OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : un utilisateur disposant d’un accès au partage d’écran peut être en mesure de contourner le système de verrouillage de l’écran lorsqu’un autre utilisateur est connecté.
Description : un problème de gestion de session existait au niveau de la prise en charge du système de verrouillage de l’écran, lors de sessions de partage d’écran. Ce problème a été résolu par un meilleur suivi des sessions.
Référence CVE
CVE-2013-1033 : Jeff Grisso d’Atos IT Solutions, Sébastien Stormacq.
-
sudo
Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 à 10.8.4.
Conséquence : un attaquant contrôlant le compte d’un utilisateur administrateur peut être en mesure de bénéficier de privilèges racine, sans connaître le mot de passe de l’utilisateur.
Description : en configurant l’horloge système, un attaquant pouvait être en mesure d’utiliser la commande sudo pour bénéficier de privilèges racine sur des systèmes sur lesquels cette même commande avait été précédemment utilisée. Sous OS X, seuls les utilisateurs administrateurs peuvent modifier l’horloge système. Ce problème a été résolu par la recherche d’un horodatage non valide.
Référence CVE
CVE-2013-1775
-
Remarque : la mise à jour OS X Mountain Lion 10.8.5 permet également de remédier à un problème au cours duquel certains segments Unicode pouvaient entraîner la fermeture inopinée d’applications.