À propos des correctifs de sécurité d’OS X Yosemite 10.10.5 et de la mise à jour de sécurité 2015-006

Ce document décrit les correctifs de sécurité d’OS X Yosemite 10.10.5 et de la mise à jour de sécurité 2015-006.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez la page Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

OS X Yosemite 10.10.5 et mise à jour de sécurité 2015-006

  • Apache

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : les versions d’Apache antérieures à la version 2.4.16 présentaient plusieurs vulnérabilités, la plus importante pouvant permettre à un attaquant distant de provoquer un déni de service.

    Description : plusieurs vulnérabilités affectaient les versions d’Apache antérieures à la version 2.4.16. Elles ont été corrigées par une mise à jour de ce logiciel vers la version 2.4.16.

    Références CVE

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : PHP 5.5.20 présentait plusieurs vulnérabilités, la plus importante pouvant entraîner l’exécution arbitraire de code.

    Description : plusieurs vulnérabilités affectaient les versions de PHP antérieures à la version 5.5.20. Elles ont été corrigées par une mise à jour de PHP vers la version 5.5.27.

    Références CVE

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Module Open Directory pour l’identifiant Apple

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante peut être en mesure de modifier le mot de passe d’un utilisateur local.

    Description : dans certains cas, un problème de gestion d’état survenait lors de l’authentification par mot de passe. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2015-3799 : un chercheur anonyme en collaboration avec le programme Zero Day Initiative d’HP.

  • AppleGraphicsControl

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : AppleGraphicsControl présentait un problème qui pouvait entraîner une divulgation de la structure de la mémoire du noyau. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5768 : JieTao Yang de KeenTeam.

  • Bluetooth

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : IOBluetoothHCIController présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3779 : Teddy Reed de Facebook Security.

  • Bluetooth

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : un problème de gestion de la mémoire pouvait entraîner la divulgation de la structure de la mémoire du noyau. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3780 : Roberto Paleari et Aristide Fattori d’Emaze Networks.

  • Bluetooth

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante peut être en mesure d’accéder aux notifications publiées sur d’autres appareils iCloud.

    Description : une application malveillante était en mesure d’accéder au contenu du Centre de notifications d’un appareil iOS ou d’un Mac jumelé via Bluetooth, via le service ANCS (Apple Notification Center Service). Ce problème concernait les appareils utilisant la fonctionnalité Handoff et connectés au même compte iCloud. Il a été résolu par la suppression des droits d’accès au service ANCS.

    Référence CVE

    CVE-2015-3786 : Xiaolong Bai (université de Tsinghua), System Security Lab (université de l’Indiana), Tongxin Li (université de Pékin), XiaoFeng Wang (université de l’Indiana).

  • Bluetooth

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut provoquer un déni de service par le biais de paquets Bluetooth mal formés.

    Description : un problème de validation des entrées survenait lors de l’analyse des paquets Bluetooth ACL. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-3787 : Trend Micro.

  • Bluetooth

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un attaquant local peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : plusieurs problèmes de dépassement de la mémoire survenaient lors de la gestion, par blued, des messages XPC. Ces problèmes ont été résolus par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-3777 : mitp0sh de [PDX].

  • bootp

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un réseau Wi-Fi malveillant est susceptible d’identifier les réseaux auxquels l’appareil a accédé précédemment.

    Description : après connexion à un réseau Wi-Fi, iOS pouvait diffuser l’adresse MAC des réseaux auxquels l’appareil avait accédé auparavant via le protocole DNAv4. Ce problème a été résolu par la désactivation du protocole DNAv4 sur les réseaux Wi-Fi non chiffrés.

    Référence CVE

    CVE-2015-3778 : Piers O'Hanlon de l’Oxford Internet Institute, université d’Oxford (dans le cadre du projet EPSRC Being There).

  • CloudKit

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante est susceptible d’accéder à l’historique iCloud d’un utilisateur s’étant précédemment connecté.

    Description : CloudKit présentait une incohérence d’état lors de la déconnexion d’utilisateurs. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2015-3782 : Deepkanwal Plaha de l’université de Toronto.

  • CoreMedia Playback

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : CoreMedia Playback présentait des problèmes de corruption de la mémoire. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.

    Références CVE

    CVE-2015-5777 : Apple.

    CVE-2015-5778 : Apple.

  • CoreText

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : le traitement d’un fichier de police malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de police. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-5761 : John Villamil (@day6reak), Yahoo Pentest Team.

  • CoreText

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : le traitement d’un fichier de police malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de police. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-5755 : John Villamil (@day6reak), Yahoo Pentest Team.

  • curl

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : les versions de cURL et libcurl antérieures à la version 7.38.0 présentaient plusieurs vulnérabilités, l’une d’elles pouvant permettre à des attaquants distants de contourner la politique « Same Origin Policy ».

    Description : les versions de cURL et libcurl antérieures à la version 7.38.0 présentaient plusieurs vulnérabilités. Celles-ci ont été corrigées par la mise à jour de cURL vers la version 7.43.0.

    Références CVE

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Data Detectors Engine

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : le traitement d’une séquence de caractères Unicode peut entraîner la fermeture d’une application ou l’exécution arbitraire de code.

    Description : des problèmes de corruption de la mémoire survenaient lors du traitement de caractères Unicode. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5750 : M1x7e1 de la Safeye Team (www.safeye.org).

  • Sous-fenêtre des préférences Date et heure

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : des applications utilisant l’heure système sont susceptibles de présenter certains problèmes.

    Description : un problème d’autorisation survenait lors de la modification des préférences système Date et heure. Ce problème a été résolu par une vérification supplémentaire des autorisations.

    Référence CVE

    CVE-2015-3757 : Mark S C Smith.

  • Application Dictionnaire

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter les requêtes effectuées dans l’application Dictionnaire.

    Description : les communications effectuées au sein de l’application Dictionnaire n’étaient pas suffisamment sécurisées. Ce problème a été résolu par l’utilisation du protocole HTTPS pour les requêtes effectuées dans l’application.

    Référence CVE

    CVE-2015-3774 : Jeffrey Paul d’EEQJ, Jan Bee de l’équipe de sécurité de Google.

  • DiskImages

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : le traitement d’un fichier DMG malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code avec privilèges système.

    Description : un problème de corruption de la mémoire survenait lors de l’analyse d’images DMG mal formées. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3800 : Frank Graziano de la Yahoo Pentest Team.

  • dyld

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : le composant dyld présentait un problème de validation des chemins d’accès. Ce problème a été résolu par un nettoyage amélioré de l’environnement.

    Référence CVE

    CVE-2015-3760 : beist de grayhash, Stefan Esser.

  • FontParser

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : le traitement d’un fichier de police malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de police. Ce problème a été résolu par une meilleure validation des entrées.

    Références CVE

    CVE-2015-3804 : Apple.

    CVE-2015-5775 : Apple.

  • FontParser

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : le traitement d’un fichier de police malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de police. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-5756 : John Villamil (@day6reak), Yahoo Pentest Team.

  • groff

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : pdfroff présentait plusieurs problèmes.

    Description : pdfroff présentait plusieurs problèmes, le plus important pouvant permettre la modification arbitraire du système de fichiers. Ces problèmes ont été résolus par la suppression de pdfroff.

    Références CVE

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : le traitement d’une image TIFF malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : un problème de corruption de la mémoire survenait lors du traitement des images TIFF. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5758 : Apple.

  • ImageIO

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : la consultation d’un site Web malveillant peut entraîner la divulgation de la mémoire de traitement.

    Description : un problème d’accès à la mémoire non initialisée survenait lors de la gestion, par ImageIO, des images TIFF et PNG. La consultation d’un site Web malveillant pouvait aboutir à l’envoi de données de la mémoire de traitement vers ledit site. Ce problème est résolu par une initialisation améliorée de la mémoire et une validation supplémentaire des images TIFF et PNG.

    Références CVE

    CVE-2015-5781 : Michal Zalewski.

    CVE-2015-5782 : Michal Zalewski.

  • Install Framework Legacy

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges racine.

    Description : un problème existait au niveau de la manière dont le fichier « runner » d’Install.framework permettait de supprimer les privilèges. Ce problème a été résolu par une meilleure gestion des privilèges.

    Référence CVE

    CVE-2015-5784 : Ian Beer de Google Project Zero.

  • Install Framework Legacy

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de concurrence, au niveau du fichier « runner » d’Install.framework, permettait de supprimer, à tort, les privilèges. Ce problème a été résolu par une amélioration du verrouillage des objets.

    Référence CVE

    CVE-2015-5754 : Ian Beer de Google Project Zero.

  • IOFireWireFamily

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : IOFireWireFamily présentait des problèmes de corruption de la mémoire. Ces problèmes ont été résolus par une validation supplémentaire des types d’entrée.

    Références CVE

    CVE-2015-3769 : Ilja van Sprundel.

    CVE-2015-3771 : Ilja van Sprundel.

    CVE-2015-3772 : Ilja van Sprundel.

  • IOGraphics

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : IOGraphics présentait un problème de corruption de la mémoire. Ce problème a été résolu par une validation supplémentaire des types d’entrée.

    Références CVE

    CVE-2015-3770 : Ilja van Sprundel.

    CVE-2015-5783 : Ilja van Sprundel.

  • IOHIDFamily

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de dépassement de la mémoire tampon affectait IOHIDFamily. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5774 : TaiG Jailbreak Team.

  • Noyau

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : l’interface mach_port_space_info présentait un problème, susceptible d’entraîner la divulgation de la structure de la mémoire du noyau. Ce problème a été résolu en désactivant l’interface mach_port_space_info.

    Référence CVE

    CVE-2015-3766 : Cererdlong de l’Alibaba Mobile Security Team, @PanguTeam.

  • Noyau

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de dépassement d’entier survenait lors de la gestion des fonctions IOKit. Ce problème a été résolu par une meilleure validation des arguments de l’API IOKit.

    Référence CVE

    CVE-2015-3768 : Ilja van Sprundel.

  • Noyau

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un utilisateur local peut être à l’origine d’un déni de service.

    Description : le gestionnaire fasttrap présentait un problème d’épuisement des ressources. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5747 : Maxime Villard de m00nbsd.

  • Noyau

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un utilisateur local peut être à l’origine d’un déni de service.

    Description : un problème de validation survenait lors du montage de volumes HFS. Ce problème a été résolu par l’ajout de vérifications supplémentaires.

    Référence CVE

    CVE-2015-5748 : Maxime Villard de m00nbsd.

  • Noyau

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante peut être en mesure d’exécuter du code non signé.

    Description : du code non signé pouvait être associé à du code signé dans un fichier exécutable créé à cet effet Ce problème a été résolu par une meilleure validation des signatures par code.

    Référence CVE

    CVE-2015-3806 : TaiG Jailbreak Team.

  • Noyau

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : l’exécution de code malveillant et non signé était possible via des fichiers exécutables créés à cet effet.

    Description : l’évaluation des fichiers exécutables dotés d’architectures multiples présentait un problème susceptible de permettre l’exécution de code non signé. Ce problème a été résolu par une meilleure validation des fichiers exécutables.

    Référence CVE

    CVE-2015-3803 : TaiG Jailbreak Team.

  • Noyau

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un utilisateur local peut être en mesure d’exécuter du code non signé.

    Description : un problème de validation se produisait lors de la gestion des fichiers Mach-O. Ce problème a été résolu par l’ajout de vérifications supplémentaires.

    Références CVE

    CVE-2015-3802 : TaiG Jailbreak Team.

    CVE-2015-3805 : TaiG Jailbreak Team.

  • Noyau

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : l’analyse d’un fichier plist malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code avec privilèges système.

    Description : un problème de corruption de la mémoire survenait lors du traitement des fichiers plist mal formés. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3776 : Teddy Reed de Facebook Security, Patrick Stein (@jollyjinx) de Jinx Germany.

  • Noyau

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de validation des chemins d’accès existait. Ce problème a été résolu par un nettoyage amélioré de l’environnement.

    Référence CVE

    CVE-2015-3761 : Apple.

  • Libc

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : le traitement d’une expression régulière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Conséquence : la bibliothèque TRE présentait des problèmes de corruption de la mémoire. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.

    Références CVE

    CVE-2015-3796 : Ian Beer de Google Project Zero.

    CVE-2015-3797 : Ian Beer de Google Project Zero.

    CVE-2015-3798 : Ian Beer de Google Project Zero.

  • Libinfo

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : des problèmes de corruption de la mémoire survenaient lors du traitement des sockets AF_INET6. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5776 : Apple.

  • libpthread

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de corruption de la mémoire survenait lors du traitement des fonctions syscall. Ce problème a été résolu par une meilleure vérification de l’état Verrouillé.

    Référence CVE

    CVE-2015-5757 : Lufeng Li de Qihoo 360.

  • libxml2

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : les versions de libxml2 antérieures à la version 2.9.2 présentaient plusieurs vulnérabilités, la plus importante pouvant permettre à un attaquant distant de provoquer un déni de service.

    Description : plusieurs vulnérabilités affectaient les versions de libxml2 antérieures à la version 2.9.2. Elles ont été corrigées par une mise à jour de libxml2 vers la version 2.9.2.

    Références CVE

    CVE-2012-6685 : Felix Groebert de Google.

    CVE-2014-0191 : Felix Groebert de Google.

  • libxml2

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : l’analyse d’un document XML malveillant peut mener à la divulgation des informations utilisateur.

    Description : libxml2 présentait un problème d’accès à la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire

    Référence CVE

    CVE-2014-3660 : Felix Groebert de Google.

  • libxml2

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : l’analyse d’un document XML malveillant peut mener à la divulgation des informations utilisateur.

    Description : un problème de corruption de la mémoire survenait lors de l’analyse des fichiers XML. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3807 : Apple.

  • libxpc

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de corruption de la mémoire survenait lors de la gestion de messages XPC mal formés. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-3795 : Mathew Rowley.

  • mail_cmds

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un utilisateur local peut être en mesure d’exécuter des commandes Shell arbitraires.

    Description : un problème de validation survenait lors de l’analyse, par mailx, des adresses e-mails. Ce problème a été résolu par un nettoyage amélioré.

    Référence CVE

    CVE-2014-7844

  • Centre de notifications d’OS X

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : une application malveillante peut être en mesure d’accéder à toutes les notifications précédemment affichées par l’utilisateur.

    Description : les notifications du Centre de notifications n’étaient pas correctement supprimées. Ce problème a été résolu par la suppression adéquate des notifications ignorées par l’utilisateur.

    Référence CVE

    CVE-2015-3764 : Jonathan Zdziarski.

  • NTFS

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : NTFS présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5763 : Roberto Paleari et Aristide Fattori d’Emaze Networks.

  • OpenSSH

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : des attaquants distants sont en mesure de passer outre le délai d’attente imposé après une tentative de connexion infructueuse, et de mener des attaques par force brute.

    Description : un problème survenait lors du traitement des claviers interactifs. Ce problème a été résolu par une meilleure validation des demandes d’authentification.

    Référence CVE

    CVE-2015-5600

  • OpenSSL

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : les versions d’OpenSSL antérieures à la version 0.9.8zg présentaient plusieurs vulnérabilités, la plus importante pouvant permettre à un attaquant distant de provoquer un déni de service.

    Description : les versions d’OpenSSL antérieures à la version 0.9.8zg présentaient plusieurs vulnérabilités. Celles-ci ont été corrigées par la mise à jour d’OpenSSL vers la version 0.9.8zg.

    Références CVE

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : l’analyse d’une expression régulière malveillante peut entraîner la fermeture inopinée d’une application, ou l’exécution arbitraire de code.

    Description : un dépassement négatif d’entier se produisait lors de l’analyse, par Perl, d’expressions régulières. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2013-7422

  • PostgreSQL

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un attaquant est en mesure de provoquer la fermeture inopinée d’une application, ou d’accéder à des données sans s’être authentifié au préalable.

    Description : PostgreSQL 9.2.4 présentait plusieurs problèmes. Ceux-ci ont été résolus par une mise à jour vers la version 9.2.13.

    Références CVE

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • Python

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : Python 2.7.6 présente plusieurs vulnérabilités, la plus importante pouvant entraîner l’exécution arbitraire de code.

    Description : plusieurs vulnérabilités affectaient les versions de Python antérieures à la version 2.7.6. Elles ont été corrigées par une mise à jour de Python vers la version 2.7.10.

    Références CVE

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : l’analyse d’un document Office malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire survenait lors de l’analyse des documents Office. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5773 : Apple.

  • QL Office

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : l’analyse d’un fichier XML malveillant peut mener à la divulgation des informations utilisateur.

    Description : un problème de référencement d’entité externe survenait lors de l’analyse des fichiers XML. Ce problème a été résolu par une analyse améliorée.

    Référence CVE

    CVE-2015-3784 : Bruno Morisson d’INTEGRITY S.A.

  • Environnement Quartz Composer

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : l’analyse d’un fichier QuickTime malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire survenait lors de l’analyse des fichiers QuickTime. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5771 : Apple.

  • Coup d’œil

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : la recherche d’un site précédemment consulté est susceptible d’entraîner l’ouverture du navigateur Web et l’affichage dudit site.

    Description : la fonctionnalité Coup d’œil était en mesure d’exécuter du code JavaScript. Ce problème a été résolu en désactivant l’exécution de JavaScript.

    Référence CVE

    CVE-2015-3781 : Andrew Pouliot de Facebook, Anto Loyola de Qubole.

  • QuickTime 7

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : QuickTime présentait plusieurs problèmes de corruption de la mémoire. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.

    Références CVE

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753 : Apple.

    CVE-2015-5779 : Apple.

  • QuickTime 7

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : QuickTime présentait plusieurs problèmes de corruption de la mémoire. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.

    Références CVE

    CVE-2015-3765 : Joe Burnett d’Audio Poison.

    CVE-2015-3788 : Ryan Pentney et Richard Johnson de Cisco Talos.

    CVE-2015-3789 : Ryan Pentney et Richard Johnson de Cisco Talos.

    CVE-2015-3790 : Ryan Pentney et Richard Johnson de Cisco Talos.

    CVE-2015-3791 : Ryan Pentney et Richard Johnson de Cisco Talos.

    CVE-2015-3792 : Ryan Pentney et Richard Johnson de Cisco Talos.

    CVE-2015-5751 : WalkerFuz.

  • SceneKit

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : l’affichage d’un fichier Collada malveillant peut entraîner l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion, par SceneKit, des fichiers Collada. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-5772 : Apple.

  • SceneKit

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : SceneKit présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3783 : Haris Andrianakis de l’équipe de sécurité de Google.

  • Sécurité

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un utilisateur standard peut être en mesure de profiter de privilèges d’administrateur, et ce sans s’être authentifié à l’aide des identifiants adéquats.

    Description : un problème survenait lors de la gestion de l’identification des utilisateurs. Ce problème a été résolu par une meilleure vérification des demandes d’authentification.

    Référence CVE

    CVE-2015-3775 : [Eldon Ahrold].

  • Client SMB

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Conséquence : le client SMB présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3773 : Ilja van Sprundel.

  • Interface utilisateur vocale

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : l’analyse d’une chaîne Unicode malveillante, alors que les alertes vocales sont activées, peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire survenait lors de la gestion de chaînes Unicode. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3794 : Adam Greenbaum de Refinitive.

  • sudo

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : les versions de sudo antérieures à la version 1.7.10p9 présentaient plusieurs vulnérabilités, la plus importante pouvant permettre à un attaquant d’accéder à des fichiers arbitraires.

    Description : les versions de sudo antérieures à la version 1.7.10p9 présentaient plusieurs vulnérabilités. Celles-ci ont été corrigées par la mise à jour de sudo vers la version 1.7.10p9.

    Références CVE

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : les versions de tcpdump antérieures à la version 4.7.3 présentaient plusieurs vulnérabilités, la plus importante pouvant permettre à un attaquant distant de provoquer un déni de service.

    Description : plusieurs vulnérabilités affectaient les versions de tcpdump antérieures à la version 4.7.3. Elles ont été corrigées par une mise à jour de tcpdump vers la version 4.7.3.

    Références CVE

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • Formats texte

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : l’analyse d’un fichier texte malveillant peut mener à la divulgation des informations utilisateur.

    Description : un problème lié au référencement d’entités XML externes survenait lors de l’analyse TextEdit. Ce problème a été résolu par une analyse améliorée.

    Référence CVE

    CVE-2015-3762 : Xiaoyong Wu de l’équipe de sécurité d’Evernote.

  • udf

    Disponible pour : OS X Yosemite 10.10 à 10.10.4.

    Conséquence : le traitement d’un fichier DMG malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code avec privilèges système.

    Description : un problème de corruption de la mémoire survenait lors de l’analyse d’images DMG mal formées. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3767 : beist de grayhash.

OS X Yosemite 10.10.5 inclut les correctifs de sécurité de Safari 8.0.8.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication: Mon Aug 31 19:30:59 GMT 2015