À propos du contenu sécuritaire de la mise à jour Mac OS X 10.5.1 (client et serveur)

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, consultez la page Sécurité produit d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Cet article a été archivé et ne sera plus mis à jour par Apple.

Mise à jour Mac OS X v10.5.1

  • Coupe-feu applicatif

    Références CVE : CVE-2007-4702

    Disponible pour : Mac OS X v10.5, Mac OS X Server v10.5

    Conséquences : le réglage « Bloquer toutes les connexions entrantes » du coupe-feu prête à confusion

    Description : le réglage « Bloquer toutes les connexions entrantes » du coupe-feu applicatif permet à tout processus s’exécutant en tant qu’utilisateur « racine » (UID 0) de recevoir les connexions entrantes et permet également à mDNSResponder de recevoir des connexions. Ceci pourrait entraîner une exposition imprévue des services réseau. Cette mise à jour résout le problème en décrivant l’option de façon plus précise (« Autoriser uniquement les services indispensables ») et en limitant, dans le cadre de cette option, les processus autorisés à recevoir des connexions entrantes à un petit ensemble défini de services système : configd (pour le protocole DHCP et d’autres protocoles de configuration réseau), mDNSResponder (pour Bonjour) et racoon (pour IPSec). Le contenu de l’aide du coupe-feu applicatif a également été mis à jour et fournit des informations complémentaires. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.5.

  • Coupe-feu applicatif

    Références CVE : CVE-2007-4703

    Disponible pour : Mac OS X v10.5, Mac OS X Server v10.5

    Conséquences : les processus s’exécutant en tant qu’utilisateur « racine » (UID 0) ne peuvent pas être bloqués lorsque le coupe-feu est défini sur « Définir l’accès aux applications et services spécifiques »

    Description : le réglage « Définir l’accès aux applications et services spécifiques » du coupe-feu applicatif permet à tout processus s’exécutant en tant qu’utilisateur « racine » (UID 0) de recevoir des connexions entrantes, même si son exécutable est spécifiquement ajouté à la liste des programmes et que son entrée dans la liste est définie sur « Bloquer les connexions entrantes ». Ceci pourrait entraîner une exposition imprévue des services réseau. Cette mise à jour corrige le problème en bloquant tout exécutable ainsi défini. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.5.

  • Coupe-feu applicatif

    Références CVE : CVE-2007-4704

    Disponible pour : Mac OS X v10.5, Mac OS X Server v10.5

    Conséquences : les modifications apportées aux réglages du coupe-feu applicatif ne sont appliquées aux processus lancés par launchd qu’après leur redémarrage

    Description : toute modification apportée aux réglages du coupe-feu applicatif ne sera appliquée à un processus en cours d’exécution lancé par launchd qu’après son redémarrage. Un utilisateur pourrait s’attendre à ce que les modifications prennent effet immédiatement et laisser de ce fait le système exposé à l’accès réseau. Cette mise à jour corrige le problème en faisant en sorte que les modifications prennent effet immédiatement. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.5.

Date de publication: