À propos du contenu sécuritaire de la mise à jour Mac OS X 10.4.7

Ce document décrit le contenu sécuritaire inclus dans la mise à jour Mac OS X 10.4.7 qui peut être téléchargée et installée grâce à l'option Mise à jour de logiciels ou depuis la page des Téléchargements de logiciels Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, rendez-vous sur la page Securité produit du site Web d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Cet article a été archivé et ne sera plus mis à jour par Apple.

Mise à jour Mac OS X 10.4.7

  • AFP

    Références CVE : CVE-2006-1468

    Disponible pour : Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : les noms de fichiers et de dossiers peuvent être divulgués à des utilisateurs non autorisés

    Description : un problème au niveau du serveur AFP permet l'affichage dans les résultats de la recherche de noms de fichiers et de dossiers auxquels l'utilisateur effectuant la recherche n'a pas accès. Cela pourrait provoquer la divulgation d'informations si les noms eux-mêmes représentent des informations sensibles. Cette mise à jour résout ce problème en s’assurant que les résultats de recherches incluent uniquement les éléments pour lesquels l'utilisateur dispose d'autorisations. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4.

  • ClamAV

    Références CVE : CVE-2006-1989

    Disponible pour : Mac OS X Server v10.4.6

    Conséquences : lorsque la détection de virus est configurée pour une mise à jour automatique, un miroir de base de données malveillant peut entraîner l'exécution de code quelconque.

    Description : un problème au niveau de la mise à jour automatique de la base de données de virus de ClamAV peut provoquer un dépassement de mémoire tampon dans la pile. Un miroir de base de données ClamAV malveillant ou mystifié peut entraîner l'exécution de code quelconque avec les privilèges de ClamAV. Le service Mail, l'analyse de virus et les mises à jour automatiques de la base de données de virus sont désactivés par défaut. Cette mise à jour résout le problème en incorporant ClamAV 0.88.2. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4.

  • ImageIO

    Références CVE : CVE-2006-1469

    Disponible pour : Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : l’affichage d’une image TIFF construite de manière malveillante peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : en construisant soigneusement une image corrompue au format TIFF, un attaquant peut déclencher un dépassement de mémoire tampon dans la pile qui peut conduire à un blocage d’application ou à l’exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images TIFF. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4.

  • launchd

    Références CVE : CVE-2006-1471

    Disponible pour : Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : les utilisateurs locaux peuvent augmenter leurs permissions

    Description : une vulnérabilité de chaîne de format dans le programme setuid launch peut permettre à un utilisateur local authentifié d'exécuter un code quelconque avec des permissions système. Ce problème est présent dans la fonction de journalisation de launchd. Cette mise à jour résout le problème en réalisant des validations supplémentaires lors de la journalisation de messages. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Kevin Finisterre de DigitalMunition pour avoir signalé ce problème.

  • OpenLDAP

    Références CVE : CVE-2006-1470

    Disponible pour : Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : des attaquants distants peuvent provoquer la panne d'un serveur Open Directory

    Description : en construisant soigneusement une demande LDAP non valide, un attaquant distant peut déclencher une assertion dans le serveur OpenLDAP, avec pour conséquence un déni de service. Cette mise à jour résout le problème en éliminant la demande non valide. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions l'équipe de recherche de Mu Security pour avoir signalé ce problème.

Date de publication: