À propos du contenu sécuritaire de la mise à jour Mac OS X 10.4.8 et de Security Update 2006-006

Ce document décrit Security Update 2006-006 et le contenu sécuritaire de la mise à jour Mac OS X 10.4.8, qui peuvent être téléchargés et installés via les préférences Mise à jour de logiciels ou les Téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, consultez la page Sécurité produit d'Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Cet article a été archivé et ne sera plus mis à jour par Apple.

Mac OS X v10.4.8 et Security Update 2006-006

  • CFNetwork

    Références CVE : CVE-2006-4390

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.7, Mac OS X Server v10.4 à Mac OS X Server v10.4.7

    Conséquences : les clients CFNetwork tels que Safari peuvent autoriser l'affichage de sites SSL non authentifiés en tant que sites authentifiés

    Description : les connexions créées via SSL sont normalement authentifiées et chiffrées. Lorsque le chiffrement est implémenté sans authentification, des sites malveillants peuvent se faire passer pour des sites de confiance. Dans le cas de Safari, cela peut provoquer l'affichage de l'icône de verrouillage alors que l'identité d'un site distant ne peut pas être considérée comme fiable. Cette mise à jour résout le problème en interdisant les connexions SSL anonymes par défaut. Nous remercions Adam Bryzak de Queensland University of Technology pour avoir signalé ce problème.

  • Flash Player

    Références CVE : CVE-2006-3311, CVE-2006-3587, CVE-2006-3588 et CVE-2006-4640

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.7, Mac OS X Server v10.4 à Mac OS X Server v10.4.7

    Conséquences : la lecture d’un contenu Flash peut conduire à l’exécution de code quelconque

    Description : Adobe Flash Player contient des vulnérabilités critiques qui peuvent conduire à l’exécution de code quelconque lors de la gestion de contenu construit de manière malveillante. Cette mise à jour résout les problèmes en incorporant Flash Player version 9.0.16.0 sur les systèmes Mac OS X v10.3.9 et Flash Player version 9.0.20.0 sur les systèmes Mac OS X v10.4.

    Vous trouverez des informations complémentaires sur le site Web d'Adobe à l'adresse http://www.adobe.com/support/security/bulletins/apsb06-11.html.

  • ImageIO

    Références CVE : CVE-2006-4391

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.7, Mac OS X Server v10.4 à Mac OS X Server v10.4.7

    Conséquences : l’affichage d’une image JPEG2000 construite de manière malveillante peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : en construisant soigneusement une image corrompue au format JPEG2000, un attaquant peut déclencher un dépassement de mémoire tampon qui peut conduire à un blocage d’application ou à l’exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images JPEG2000. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Tom Saxton d'Idle Loop Software Design pour avoir signalé ce problème.

  • Noyau

    Références CVE : CVE-2006-4392

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.7, Mac OS X Server v10.4 à Mac OS X Server v10.4.7

    Conséquences : les utilisateurs locaux peuvent exécuter un code quelconque avec des permissions augmentées.

    Description : un mécanisme de gestion des erreurs présent dans le noyau et connu sous le nom de ports d'exception Mach offre la possibilité de contrôler des programmes lorsque certains types d'erreurs sont rencontrés. Un utilisateur local malveillant peut utiliser ce mécanisme pour exécuter un code quelconque dans des programmes disposant de privilèges si une erreur est rencontrée. Cette mise à jour résout le problème en limitant l'accès aux ports d'exception Mach pour les programmes disposant de privilèges. Nous remercions Dino Dai Zovi de Matasano Security pour avoir signalé ce problème.

  • LoginWindow

    Références CVE : CVE-2006-4397

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.7, Mac OS X Server v10.4 à Mac OS X Server v10.4.7

    Conséquences : après une tentative infructueuse de connexion à un compte réseau, d'autres utilisateurs locaux peuvent accéder aux tickets Kerberos.

    Description : en raison d'une condition d'erreur non contrôlée, les tickets Kerberos peuvent ne pas être correctement détruits après une tentative infructueuse de connexion à un compte réseau via loginwindow. Cela peut provoquer l'accès non autorisé d'autres utilisateurs locaux aux tickets Kerberos d'un utilisateur précédent. Cette mise à jour résout le problème en effaçant le cache des informations d'authentification après les connexions infructueuses. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Patrick Gallagher de Digital Peaks Corporation pour avoir signalé ce problème.

  • LoginWindow

    Références CVE : CVE-2006-4393

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.7, Mac OS X Server v10.4 à Mac OS X Server v10.4.7

    Conséquences : d'autres utilisateurs locaux peuvent accéder aux tickets Kerberos en cas d'activation de Permutation rapide d’utilisateur

    Description : une erreur dans la gestion de Permutation rapide d’utilisateur peut permettre à un utilisateur local d'accéder aux tickets Kerberos d'autres utilisateurs locaux. Permutation rapide d’utilisateur a été mis à jour pour empêcher que cette situation se produise. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Ragnar Sundblad du Royal Institute of Technology de Stockholm, en Suède, pour avoir signalé ce problème.

  • LoginWindow

    Références CVE : CVE-2006-4394

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.7, Mac OS X Server v10.4 à Mac OS X Server v10.4.7

    Conséquences : il est possible que les comptes réseau puissent contourner les contrôles d'accès au service loginwindow

    Description : les contrôles d'accès aux services peuvent servir à limiter les utilisateurs autorisés à se connecter à un système via loginwindow. Une erreur logique dans loginwindow permet aux comptes réseau sans GUID de contourner les contrôles d'accès aux services. Ce problème n'affecte que les systèmes ayant été configurés pour utiliser les contrôles d'accès aux services de loginwindow et pour autoriser les comptes réseau à authentifier les utilisateurs sans GUID. Le problème a été résolu en gérant correctement les contrôles d'accès aux services dans loginwindow. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4.

  • Préférences

    Références CVE : CVE-2006-4387

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.7, Mac OS X Server v10.4 à Mac OS X Server v10.4.7

    Conséquences : après avoir supprimé les permissions d'administration d'un compte, celui-ci peut continuer à gérer les applications WebObjects

    Description : décocher la case « Autorisation à administrer cet ordinateur » dans les Préférences Système peut ne pas suffire pour supprimer le compte des groupes appserveradm ou appserverusr. Ces groupes permettent à un compte de gérer les applications WebObjects. Cette mise à jour résout le problème en s'assurant que le compte est supprimé des groupes appropriés. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Phillip Tejada de Fruit Bat Software pour avoir signalé ce problème.

  • QuickDraw Manager

    Références CVE : CVE-2006-4395

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.7, Mac OS X Server v10.4 à Mac OS X Server v10.4.7

    Conséquences : l'ouverture avec certaines applications d'une image PICT malveillante peut conduire à un blocage d'application ou à l’exécution de code quelconque

    Description : certaines applications appellent une opération QuickDraw non gérée pour afficher des images PICT. En construisant soigneusement une image PICT corrompue, un attaquant peut déclencher une corruption de la mémoire dans ces applications, qui peut conduire à un blocage d’application ou à l’exécution de code quelconque. Cette mise à jour résout le problème en empêchant la réalisation de l'opération non gérée.

  • SASL

    Références CVE : CVE-2006-1721

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.7, Mac OS X Server v10.4 à Mac OS X Server v10.4.7

    Conséquences : un attaquant distant peut provoquer un déni de service sur un serveur IMAP

    Description : un problème au niveau de la gestion de la négociation DIGEST-MD5 dans Cyrus SASL peut provoquer une erreur de segmentation dans le serveur IMAP avec un en-tête de domaine d'authentification construit de manière malveillante. Cette mise à jour résout le problème par l’amélioration de la gestion des en-têtes de domaines d'authentification dans les tentatives d'authentification.

  • WebCore

    Références CVE : CVE-2006-3946

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.7, Mac OS X Server v10.4 à Mac OS X Server v10.4.7

    Conséquences : l’affichage d’une page Web construite de manière malveillante peut conduire à l’exécution de code quelconque

    Description : une erreur de gestion de la mémoire lors du traitement de certains langages HTML par WebKit peut permettre à un site Web malveillant de provoquer une panne ou l'exécution de code quelconque pendant qu'un utilisateur visite le site. Cette mise à jour corrige le problème en supprimant la cause du dépassement de la mémoire tampon. Nous remercions Jens Kutilek de Netzallee pour avoir signalé ce problème.

  • Gestionnaire de groupe de travail

    Références CVE : CVE-2006-4399

    Disponible pour : Mac OS X Server v10.4 à Mac OS X Server v10.4.7

    Conséquences : les comptes d'un parent NetInfo qui semblent utiliser des mots de passe ShadowHash peuvent encore utiliser des mots de passe « crypt »

    Description : le Gestionnaire de groupe de travail semble permettre le passage du type d'authentification des mots de passe « crypt » aux mots de passe ShadowHash dans un parent NetInfo, alors que ce n'est pas le cas. L'actualisation de l'affichage d'un compte dans un parent NetInfo montre clairement que les mots de passe « crypt » sont toujours utilisés. Cette mise à jour résout le problème en interdisant aux administrateurs de sélectionner les mots de passe ShadowHash pour les comptes d'un parent NetInfo. Nous remercions Chris Pepper de Rockefeller University pour avoir signalé ce problème.

Remarque pour l'installation

Mise à jour de logiciels affichera la mise à jour s'appliquant à votre configuration système. Une seule d'entre elle est requise.

Security Update 2006-006 s'installera sur les systèmes Mac OS X v10.3.9 et Mac OS X Server v10.3.9.

Mac OS X 10.4.8 comporte les correctifs de sécurité présents dans Security Update 2006-006 et s'installera sur Mac OS X 10.4 ou ultérieur, ainsi que sur les systèmes Mac OS X Server 10.4 ou ultérieur.

Important : les renseignements concernant des produits non fabriqués par Apple ne sont fournis qu’à titre indicatif et ne constituent ni une recommandation ni une approbation de la part d’Apple. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Date de publication: