À propos du contenu sécuritaire de la mise à jour de sécurité 2010-002/Mac OS X 10.6.3

Ce document décrit le contenu sécuritaire inclus dans la mise à jour de sécurité 2010-002/Mac OS X 10.6.3, qui peut être téléchargée et installée via les préférences de Mise à jour de logiciels ou à partir de la page Téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles. Pour en savoir plus sur la sécurité des produits Apple, consultez le site Web Sécurité produit d’Apple.

Pour plus d’informations sur la clé PGP de la sécurité produit d’Apple, consultez l’article « Utilisation de la clé PGP de la sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir de plus amples détails.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Cet article a été archivé et ne sera plus mis à jour par Apple.

Mise à jour de sécurité 2010-002/Mac OS X 10.6.3

  • AppKit

    Référence CVE : CVE-2010-0056

    Disponibles pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : la vérification de l’orthographe d’un document construit de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution arbitraire de code

    Description : il existe un dépassement de mémoire tampon dans la fonctionnalité de vérification de l’orthographe des applications Cocoa. La vérification de l’orthographe d’un document construit de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution arbitraire de code Ce problème est résolu par la vérification améliorée des limites. Ce problème ne concerne pas les systèmes Mac OS X 10.6. Source : Apple.

  • Coupe-feu d’application

    Référence CVE : CVE-2009-2801

    Disponibles pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : certaines règles du coupe-feu d’application peuvent devenir inactives après un redémarrage

    Description : un problème de synchronisation dans le coupe-feu d’application peut rendre certaines règles inactives après un redémarrage. Ce problème est résolu par une meilleure gestion des règles du coupe-feu. Ce problème ne concerne pas les systèmes Mac OS X 10.6. Nous remercions Michael Kisor d’OrganicOrb.com d’avoir signalé ce problème.

  • Serveur AFP

    Référence CVE : CVE-2010-0057

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : lorsque l’accès des invités est désactivé, un utilisateur distant peut être en mesure de monter des partages AFP en tant qu’invité

    Description : un problème de contrôle d’accès affectant AFP Server peut permettre à un utilisateur distant de monter des partages AFP en tant qu’invité, même si l’accès des invités est désactivé. Ce problème est résolu par la vérification améliorée des contrôles d’accès. Source : Apple.

  • Serveur AFP

    Référence CVE : CVE-2010-0533

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : un utilisateur distant bénéficiant d’un accès comme invité à un partage AFP peut accéder au contenu de fichiers lisibles par tous en dehors du partage Public

    Description : il existe un problème de parcours de répertoire dans la validation de chemin d’accès pour les partages AFP. Un utilisateur distant peut énumérer le répertoire parent de la racine de partage et activer la lecture ou l’écriture dans ce répertoire de fichiers accessibles à n’importe quel utilisateur. Ce problème est résolu par une meilleure gestion des chemins d’accès aux fichiers. Nous remercions Patrik Karlsson of cqure.net d’avoir signalé ce problème.

  • Apache

    Référence CVE : CVE-2009-3095

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : un attaquant distant peut être à même d’ignorer les restrictions de contrôle d’accès

    Description : il existe un problème de validation d’entrée dans la manière dont Apache traite les requêtes FTP. Un attaquant distant bénéficiant de la possibilité d’émettre des requêtes par le proxy peut être à même d’ignorer les restrictions de contrôle d’accès spécifiées dans la configuration Apache. Ce problème est résolu par la mise à jour d’Apache en version 2.2.14.

  • ClamAV

    Référence CVE : CVE-2010-0058

    Disponibles pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : les définitions de virus ClamAV peuvent ne pas recevoir de mises à jour

    Description : un problème de configuration introduit avec la mise à jour de sécurité Security Update 2009-005 empêche le fonctionnement de freshclam. Cela peut empêcher la mise à jour des définitions de virus. Ce problème est résolu par la mise à jour des valeurs clés ProgramArguments de la plist du launchd de freshclam. Ce problème ne concerne pas les systèmes Mac OS X 10.6. Nous remercions Bayard Bell, Wil Shipley de Delicious Monster et David Ferrero de Zion Software, LLC d’avoir signalé ce problème.

  • CoreAudio

    Référence CVE : CVE-2010-0059

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la lecture de contenu audio malveillant peut entraîner la fermeture inattendue d’une application ou l’exécution arbitraire de code

    Description : il existe un problème de corruption de mémoire dans la gestion des fichiers audio encodés au format QDM2. La lecture de contenu audio malveillant peut entraîner la fermeture inattendue d’une application ou l’exécution arbitraire de code. Ce problème est résolu par la vérification améliorée des limites. Nous remercions un chercheur anonyme travaillant pour le programme Zero Day Initiative de TippingPoint d’avoir signalé ce problème.

  • CoreAudio

    Référence CVE : CVE-2010-0060

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la lecture de contenu audio malveillant peut entraîner la fermeture inattendue d’une application ou l’exécution arbitraire de code

    Description : il existe un problème de corruption de mémoire dans la gestion des fichiers audio encodés au format QDMC. La lecture de contenu audio malveillant peut entraîner la fermeture inattendue d’une application ou l’exécution arbitraire de code. Ce problème est résolu par la vérification améliorée des limites. Nous remercions un chercheur anonyme travaillant pour le programme Zero Day Initiative de TippingPoint d’avoir signalé ce problème.

  • CoreMedia

    Référence CVE : CVE-2010-0062

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : il existe un dépassement de mémoire tampon au niveau de la gestion par CoreMedia des films encodés au format H.263. La lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par l’exécution de validations supplémentaires sur les fichiers vidéo encodés au format H.263. Nous remercions Damian Put et un chercheur anonyme travaillant pour le programme Zero Day Initiative de TippingPoint d’avoir signalé ce problème.

  • CoreTypes

    Référence CVE : CVE-2010-0063

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : les utilisateurs ne sont pas avertis avant l’ouverture de certains types de contenu potentiellement dangereux

    Description : cette mise à jour ajoute les fichiers .ibplugin et .url à la liste des types de contenu du système qui seront signalés comme potentiellement dangereux dans certaines circonstances, par exemple lorsqu’ils sont téléchargés à partir d’une page Web. Bien que ces types de contenu ne soient pas lancés automatiquement, s’ils sont ouverts manuellement, ils peuvent conduire à l’exécution de données malveillantes sur JavaScript ou à l’exécution arbitraire de code. Cette mise à jour améliore la capacité du système à notifier les utilisateurs avant le traitement des types de contenu utilisés par Safari. Merci à Clint Ruoho de Laconic Security d’avoir signalé ce problème.

  • CUPS

    Référence CVE : CVE-2010-0393

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : un utilisateur local peut obtenir des permissions système

    Description : l’utilitaire CUPS lppaswd présente un problème de chaîne de format. Cela peut permettre à un utilisateur local à obtenir des privilèges système. Les systèmes Mac OS X 10.6 ne sont affectés que si le bit setuid a été réglé sur le binaire. Ce problème est résolu par l’utilisation de répertoires par défaut lors de l’exécution comme processus setuid. Nous remercions Ronald Volgers d’avoir signalé ce problème.

  • curl

    Référence CVE : CVE-2009-2417

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : un attaquant de type « Man-in-the-Middle » peut usurper l’identité d’un serveur de confiance

    Description : il existe un problème de canonicalisation dans la gestion par curl de caractères NUL dans le champ réservé au nom commun des certificats X.509. Cela peut mener à une attaque de type « Man-in-the-Middle » contre les utilisateurs de l’outil de ligne de commande curl ou les applications utilisant libcurl. Ce problème est résolu par une meilleure gestion des caractères NUL.

  • curl

    Référence CVE : CVE-2009-0037

    Disponibles pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : l’utilisation de curl avec -L peut permettre à un attaquant distant d’activer la lecture ou l’écriture de fichiers locaux

    Description : curl suivra les redirections HTTP et HTTPS lors d’une utilisation avec l’option -L. Lorsque curl suit une redirection, curl autorise les URL de type file://. Cela peut permettre à un attaquant distant d’accéder à des fichiers locaux. Ce problème est résolu par une validation améliorée des redirections. Ce problème ne concerne pas les systèmes Mac OS X 10.6. Nous remercions Daniel Stenberg de Haxx AB d’avoir signalé ce problème.

  • Cyrus IMAP

    Référence CVE : CVE-2009-2632

    Disponible pour : Mac OS X Server 10.5.8

    Conséquence : un utilisateur local peut être en mesure d’obtenir les permissions de l’utilisateur Cyrus

    Description : il existe un dépassement de mémoire tampon lors de la gestion de scripts sieve. En exécutant un script sieve malveillant, un utilisateur local peut être en mesure d’obtenir les permissions de l’utilisateur Cyrus. Ce problème est résolu par la vérification améliorée des limites. Ce problème ne concerne pas les systèmes Mac OS X 10.6.

  • Cyrus SASL

    Référence CVE : CVE-2009-0688

    Disponibles pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : un attaquant distant non authentifié peut conduire à un blocage inattendu d’application ou à une exécution arbitraire de code

    Description : le module d’authentification Cyrus SASL présente un problème permettant un dépassement de la mémoire tampon. L’utilisation de l’authentification Cyrus SASL peut conduire à un blocage inattendu de l’application ou à l’exécution arbitraire de code. Ce problème est résolu par la vérification améliorée des limites. Ce problème ne concerne pas les systèmes Mac OS X 10.6.

  • DesktopServices

    Référence CVE : CVE-2010-0064

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : les éléments copiés dans le Finder peuvent être affectés d’un possesseur de fichier inattendu

    Description : lors de l’exécution d’une copie authentifiée dans le Finder, les droits du fichier original peuvent être copiés inopinément. Cette mise à jour résout ce problème en assurant que les droits des fichiers copiés sont associés à l’utilisateur exécutant la copie. Ce risque ne concerne pas les systèmes antérieurs à Mac OS X 10.6. Nous remercions Gerrit DeWitt of de l’Université d’Auburn (Auburn, AL), d’avoir signalé ce problème.

  • DesktopServices

    Référence CVE : CVE-2010-0537

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : un attaquant distant peut accéder à des données utilisateur via une attaque en plusieurs étapes

    Description : un problème de résolution de chemin d’accès dans DesktopSevices entraîne une vulnérabilité à une attaque en plusieurs étapes. Un attaquant distant doit tout d’abord inciter l’utilisateur à monter un partage de nom arbitraire, via un schéma d’URL par exemple. Lors de l’enregistrement d’un fichier à l’aide de la boîte de dialogue d’enregistrement par défaut dans toute application, la commande « Aller au dossier » ou par le dépôt de dossiers dans la boîte de dialogue d’enregistrement, les données peuvent être enregistrées inopinément dans le partage malveillant. Ce problème est résolu par la gestion améliorée des chemins d’accès. Ce risque est absent dans les systèmes antérieurs à Mac OS X 10.6. Nous remercions Sidney San Martin de DeepTech, Inc. d’avoir signalé ce problème.

  • Images disque

    Référence CVE : CVE-2010-0065

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : le montage d’une image disque construite de manière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : il existe un problème de corruption de la mémoire dans la procédure de gestion des images disque compressées bzip2. Le montage d’une image disque construite de manière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par la vérification améliorée des limites. Source : Apple.

  • Images disque

    Référence CVE : CVE-2010-0497

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : l’affichage d’une image disque construite de manière malveillante peut conduire à l’exécution arbitraire de code

    Description : la gestion des images disque compatibles Internet présente un problème de conception. Le montage d’une image disque compatible Internet contenant un type de fichier pkg va l’ouvrir au lieu de l’afficher dans le Finder. La fonctionnalité de mise en quarantaine de fichiers contribue à réduire le problème en affichant une boîte de dialogue d’avertissement pour les types de fichier non fiables. Ce problème est résolu par la gestion améliorée des types de fichier pkg sur images disque compatibles Internet. Nous remercions Brian Mastenbrook, qui travaille pour le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.

  • Services de répertoire

    Référence CVE : CVE-2010-0498

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : un utilisateur local peut obtenir des permissions système

    Description : un problème d’autorisation dans la gestion des noms d’enregistrement par les Services de répertoire peut permettre à un utilisateur local d’obtenir des permissions système. Ce problème est résolu par la vérification améliorée des autorisations. Source : Apple.

  • Dovecot

    Référence CVE : CVE-2010-0535

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : un utilisateur authentifié peut être à même d’envoyer et de recevoir des messages électroniques même si cet utilisateur ne se trouve pas dans la SACL des utilisateurs autorisés

    Description : Dovecot présente un problème de contrôle d’accès lors de l’authentification Kerberos. Cela peut permettre à un utilisateur authentifié d’envoyer et de recevoir des messages électroniques même si cet utilisateur ne se trouve pas dans la SACL (Service Access Control List, ou Liste de contrôle d’accès au service) des utilisateurs autorisés. Ce problème est résolu par la vérification améliorée des contrôles d’accès. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.6.

  • Moniteur d’événement

    Référence CVE : CVE-2010-0500

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : un attaquant distant peut provoquer l’ajout de systèmes arbitraires à la liste noire du coupe-feu

    Description : une recherche DNS inversée est exécutée sur des clients ssh distants dont l’authentification échoue. Il existe un problème d’injection plist dans la gestion des noms DNS résolus. Cela peut permettre à un attaquant distant de provoquer l’ajout de systèmes arbitraires à la liste noire du coupe-feu. Ce problème est résolu par l’échappement correct des noms DNS résolus. Source : Apple.

  • FreeRADIUS

    Référence CVE : CVE-2010-0524

    Disponible pour : Mac OS X Server 10.5.8, Mac OS X Server 10.6 et 10.6.2

    Conséquence : un attaquant distant peut obtenir l’accès à un réseau via une authentification RADIUS

    Description : la configuration Mac OS X par défaut du serveur FreeRADIUS présente un problème d’authentification de certificat. Un attaquant distant peut utiliser EAP-TLS avec un certificat arbitraire valide pour l’authentification et la connexion à un réseau configuré pour l’utilisation de FreeRADIUS pour l’authentification. Ce problème est résolu par la désactivation de la gestion EAP-TLS dans la configuration. Les clients RADIUS doivent plutôt utiliser EAP-TTLS. Ce problème concerne uniquement les systèmes MAC OS X Server. Nous remercions Chris Linstruth de Qnet d’avoir signalé ce problème.

  • Serveur FTP

    Référence CVE : CVE-2010-0501

    Disponible pour : Mac OS X Server 10.5.8, Mac OS X Server 10.6 et 10.6.2

    Conséquence : les utilisateurs peuvent être à même de récupérer des fichiers en dehors du répertoire FTP racine

    Description : le serveur FTP présente un problème de parcours de répertoire. Cela peut permettre aux utilisateurs de récupérer des fichiers en dehors du répertoire FTP racine. Ce problème est résolu par une meilleure gestion des noms de fichiers. Ce problème concerne uniquement les systèmes MAC OS X Server. Source : Apple.

  • Serveur iChat

    Référence CVE : CVE-2006-1329

    Disponible pour : Mac OS X Server 10.5.8, Mac OS X Server 10.6 et 10.6.2

    Conséquence : un attaquant distant pourrait provoquer un déni de service

    Description : la gestion de la négociation SASL dans jabberd présente un problème d’implémentation. Un attaquant distant peut être à même d’annuler l’opération de jabberd. Ce problème est résolu par une meilleure gestion de la négociation SASL. Ce problème concerne uniquement les systèmes MAC OS X Server.

  • Serveur iChat

    Référence CVE : CVE-2010-0502

    Disponible pour : Mac OS X Server 10.5.8, Mac OS X Server 10.6 et 10.6.2

    Conséquence : les conversations peuvent ne pas être archivées

    Description : la gestion par iChat Server de l’archivage configurable des conversations de groupe présente un problème de conception. iChat Server archive uniquement certains types de message. De cette façon, un utilisateur distant est à même d’envoyer un message par le serveur sans être connecté. Le problème est résolu par l’élimination de la possibilité de désactiver l’archivage des conversations de groupe et l’archivage de tous les messages envoyés via le serveur. Ce problème concerne uniquement les systèmes MAC OS X Server. Source : Apple.

  • Serveur iChat

    Référence CVE : CVE-2010-0503

    Disponible pour : Mac OS X Server 10.5.8

    Conséquence : un utilisateur authentifié peut être en mesure de provoquer un blocage inattendu d’application ou l’exécution arbitraire de code

    Description : il existe un problème d’utilisation ultérieure libre dans iChat Server. Un utilisateur authentifié peut être en mesure de provoquer un blocage inattendu d’application ou l’exécution arbitraire de code. Ce problème est résolu par le suivi de référence de la mémoire améliorée. Ce problème affecte uniquement les systèmes Mac OS X Server et n’affecte pas les versions 10.6 ou ultérieures.

  • Serveur iChat

    Référence CVE : CVE-2010-0504

    Disponible pour : Mac OS X Server 10.5.8, Mac OS X Server 10.6 et 10.6.2

    Conséquence : un utilisateur authentifié peut être en mesure de provoquer un blocage inattendu d’application ou l’exécution arbitraire de code

    Description : il existe plusieurs problèmes de dépassement de mémoire tampon dans iChat Server. Un utilisateur authentifié peut être en mesure de provoquer un blocage inattendu d’application ou l’exécution arbitraire de code. Ces problèmes sont résolus par une amélioration de la gestion de la mémoire. Ces problèmes ne concernent que les systèmes Mac OS X Server. Source : Apple.

  • ImageIO

    Référence CVE : CVE-2010-0505

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : l’affichage d’une image JP2 construite de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution arbitraire de code

    Description : il existe un dépassement de mémoire tampon lors de la gestion d’images JP2. L’affichage d’une image JP2 construite de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution arbitraire de code. Ce problème est résolu par la vérification améliorée des limites. Nous remercions Chris Ries du Service Informatique de l’Université Carnegie Mellon et le chercheur « 85319bb6e6ab398b334509c50afce5259d42756e » qui travaille avec Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.

  • ImageIO

    Référence CVE : CVE-2010-0041

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la consultation d’un site Web construit de manière malveillante peut aboutir à l’envoi de données de la mémoire de Safari vers le site Web

    Description : la gestion par ImageIO des images BMP présente un problème d’accès à la mémoire non initialisée. La consultation d’un site Web construit de manière malveillante peut aboutir à l’envoi de données de la mémoire de Safari vers le site Web. Ce problème est résolu par une initialisation améliorée de la mémoire et une validation supplémentaire des images BMP. Nous remercions Matthew « j00ru » Jurczyk de Hispasec d’avoir signalé ce problème.

  • ImageIO

    Référence CVE : CVE-2010-0042

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la consultation d’un site Web construit de manière malveillante peut aboutir à l’envoi de données de la mémoire de Safari vers le site Web

    Description : la gestion par ImageIO des images TIFF présente un problème d’accès à la mémoire non initialisée. La consultation d’un site Web construit de manière malveillante peut aboutir à l’envoi de données de la mémoire de Safari vers le site Web. Ce problème est résolu par une initialisation améliorée de la mémoire et une validation supplémentaire des images TIFF. Nous remercions Matthew « j00ru » Jurczyk de Hispasec d’avoir signalé ce problème.

  • ImageIO

    Référence CVE : CVE-2010-0043

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : le traitement d’une image TIFF construite de manière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : il existe un problème de corruption de la mémoire dans la gestion des images TIFF. Le traitement d’une image TIFF construite de manière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par la gestion améliorée de la mémoire. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.6. Nous remercions Gus Mueller de Flying Meat, d’avoir signalé ce problème.

  • Image RAW

    Référence CVE : CVE-2010-0506

    Disponibles pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : l’affichage d’une image NEF construite de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution arbitraire de code

    Description : il existe un dépassement de mémoire tampon au niveau de la gestion par Image RAW des images NEF. L’affichage d’une image NEF construite de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution arbitraire de code. Ce problème est résolu par la vérification améliorée des limites. Ce problème ne concerne pas les systèmes Mac OS X 10.6. Source : Apple.

  • Image RAW

    Référence CVE : CVE-2010-0507

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : l’affichage d’une image PEF construite de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution arbitraire de code

    Description : il existe un dépassement de mémoire tampon au niveau de la gestion par Image RAW des images PEF. L’affichage d’une image PEF construite de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution arbitraire de code. Ce problème est résolu par la vérification améliorée des limites. Nous remercions Chris Ries du Service Informatique de l’Université Carnegie Mellon d’avoir signalé ce problème.

  • Libsystem

    Référence CVE : CVE-2009-0689

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : les applications pouvant convertir des données non fiables entre virgule flottante binaire et texte peuvent être vulnérables à une fermeture inopinée d’application ou à l’exécution arbitraire de code

    Description : il existe un dépassement de mémoire tampon dans le code de conversion de virgule flottante binaire en texte dans Libsystem. Un attaquant ayant accès à une application de conversion d’une valeur à virgule flottante en une chaîne longue, ou à une application qui analyse une chaîne construite de manière malveillante comme une valeur à virgule flottante, peut être à même de provoquer une fermeture inopinée d’application ou l’exécution arbitraire d’un code. Ce problème est résolu par la vérification améliorée des limites. Nous remercions Maksymilian Arciemowicz de SecurityReason.com d’avoir signalé ce problème.

  • Mail

    Référence CVE : CVE-2010-0508

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : les règles associées à un compte de messagerie supprimé restent en vigueur

    Description : lors de la suppression d’un compte de messagerie, les règles de filtrage définies par l’utilisateur pour ce compte restent en vigueur. Cela peut résulter en des actions inopinées. Ce problème est résolu par la désactivation des règles associées lors de la suppression d’un compte de messagerie.

  • Mail

    Référence CVE : CVE-2010-0525

    Disponible pour : Mac OS X 10.5.8, Mac OS Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : Mail peut utiliser un code de chiffrage faible pour les messages sortants

    Description : la gestion du chiffrage des certificats dans Mail présente un problème logique. Lorsque plusieurs certificats existent pour le destinataire dans le trousseau d’accès, Mail peut sélectionner une clé inappropriée pour le chiffrement. Cela peut provoquer un problème de sécurité si la clé choisie est plus faible qu’attendu. Ce problème est résolu par la vérification que l’extension d’utilisation de clé dans les certificats est bien évaluée lors de la sélection d’une clé de chiffrage de messagerie. Nous remercions Paul Suh de ps Enable, Inc. d’avoir signalé ce problème.

  • Mailman

    Référence CVE : CVE-2008-0564

    Disponible pour : Mac OS X Server 10.5.8

    Conséquence : multiples vulnérabilités dans Mailman 2.1.9

    Description : il existe plusieurs problèmes de type Cross-Site Scripting dans Mailman 2.1.9. Ces problèmes sont résolus par la mise à jour de Mailman en version 2.1.13. Vous trouverez plus d’informations sur le site de Mailman à l’adresse http://mail.python.org/pipermail/mailman-announce/2009-January/000128.html Ces problèmes affectent uniquement les systèmes Mac OS X Server, et n’affectent pas les versions 10.6 ou ultérieures.

  • MySQL

    Référence CVE : CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030

    Disponible pour : Mac OS X Server 10.6 à 10.6.2

    Conséquence : il existe plusieurs vulnérabilités dans MySQL 5.0.82

    Description : la mise à jour 5.0.88 de MySQL résout plusieurs vulnérabilités, la plus importante pouvant conduire à l’exécution arbitraire de code. Ces problèmes ne concernent que les systèmes Mac OS X Server. Pour en savoir plus, consultez le site Web de MySQL, à l’adresse http://dev.mysql.com/doc/refman/5.0/en/news-5-0-88.html (en anglais)

  • Services du SE

    Référence CVE : CVE-2010-0509

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : un utilisateur local peut obtenir des permissions élevées

    Description : il existe un problème de remontée dans SFLServer, lors de son exécution comme groupe « wheel » et son accès à des fichiers dans les répertoires de départ des utilisateurs. Ce problème est résolu par la gestion améliorée des permissions. Nous remercions Kevin Finisterre de DigitalMunition d’avoir signalé ce problème.

  • Serveur de mot de passe

    Référence CVE : CVE-2010-0510

    Disponible pour : Mac OS X Server 10.5.8, Mac OS X Server 10.6 et 10.6.2

    Conséquence : un attaquant distant peut être à même d’ouvrir une session avec un mot de passe périmé

    Description : il existe un problème d’implémentation dans la gestion de la duplication par Password Server qui peut entraîner la non-duplication des mots de passe. Un attaquant distant peut être à même d’ouvrir une session dans un système avec un mot de passe périmé Ce problème est résolu par une meilleure gestion de la duplication de mots de passe. Ce problème concerne uniquement les systèmes MAC OS X Server. Nous remercions Jack Johnson de Anchorage School District e d’avoir signalé ce problème.

  • perl

    Référence CVE : CVE-2008-5302, CVE-2008-5303

    Disponibles pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : un utilisateur local peut provoquer la suppression de fichiers arbitraires

    Description : plusieurs conditions de concurrence existent dans la fonction rmtree du module perl File::Path. Un utilisateur local disposant d’un accès en écriture à un répertoire en cours de suppression peut provoquer la suppression de fichiers arbitraires avec les permissions du processus perl. Ce problème est résolu par une meilleure gestion des liens symboliques. Ce problème ne concerne pas les systèmes Mac OS X 10.6.

  • PHP

    Référence CVE : CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4017

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : vulnérabilités multiples dans PHP 5.3.0

    Description : PHP est mis à jour vers la version 5.3.1 permettant de résoudre plusieurs vulnérabilités, la plus grave pouvant entraîner une exécution arbitraire de code. Vous trouverez des informations supplémentaires sur le site Web de PHP à l’adresse http://www.php.net.

  • PHP

    Référence CVE : CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4142, CVE-2009-4143

    Disponibles pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : vulnérabilités multiples dans PHP 5.2.11

    Description : la mise à jour 5.2.12 de PHP résout plusieurs vulnérabilités, la plus importante pouvant provoquer un scriptage intersite. Vous trouverez des informations supplémentaires sur le site Web de PHP à l’adresse http://www.php.net.

  • Podcast Producer

    Référence CVE : CVE-2010-0511

    Disponible pour : Mac OS X Server 10.6 à 10.6.2

    Conséquence : un utilisateur non autorisé peut être à même d’accéder au flux de travail Podcast Composer

    Description : lorsqu’un flux de travail Podcast Composer est écrasé, les restrictions d’accès sont supprimées. Cela peut permettre à un utilisateur non autorisé d’accéder à un flux de travail Podcast Composer. Ce problème est résolu par la gestion améliorée des restrictions d’accès du flux de travail. Podcast Composer a été introduit Mac OS X Server 10.6.

  • Préférences

    Référence CVE : CVE-2010-0512

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : un utilisateur se trouvant sur un réseau peut être à même de passer les restrictions d’ouverture de session sur le système

    Description : il existe un problème d’implémentation dans la gestion des restrictions d’ouverture de session dans le système pour les comptes de réseau. Si les comptes de réseau autorisés à ouvrir une session dans le système et listés dans la Fenêtre d’ouverture de session sont identifiés par adhésion de groupe uniquement, la restriction ne sera pas en vigueur et tous les utilisateurs du réseau seront autorisés à ouvrir une session dans le système. Le problème est résolu par une gestion améliorée des restrictions de groupe dans le panneau de préférences Comptes. Ce problème affecte uniquement les systèmes configurés pour utiliser un serveur de compte réseau, et n’affecte pas les systèmes antérieurs à Mac OS X 10.6. Nous remercions Christopher D. Grieb de l’Université du Michigan MSIS d’avoir signalé ce problème.

  • PS Normalizer

    Référence CVE : CVE-2010-0513

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : l’ouverture d’un fichier PostScript malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : il existe un dépassement de la mémoire tampon dans la gestion des fichiers PostScript. L’affichage d’un fichier PostScript malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème a été résolu par l’exécution de validations supplémentaires sur les fichiers PostScript. Sur les systèmes Mac OS X 10.6, ce problème est réduit par le drapeau de compilateur -fstack-protector. Source : Apple.

  • QuickTime

    Référence CVE : CVE-2010-0062

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : il existe un dépassement de mémoire tampon au niveau de la gestion par QuickTime des films encodés au format H.263. La lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par l’exécution de validations supplémentaires sur les fichiers vidéo encodés au format H.263. Nous remercions Damian Put et un chercheur anonyme travaillant pour le programme Zero Day Initiative de TippingPoint d’avoir signalé ce problème.

  • QuickTime

    Référence CVE : CVE-2010-0514

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : il existe un dépassement de la mémoire tampon dans la gestion des fichiers vidéo encodés au format H.261. La lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par l’exécution de validations supplémentaires sur les fichiers vidéo encodés au format H.261. Merci à Will Dormann de CERT/CC d’avoir signalé ce problème.

  • QuickTime

    Référence CVE : CVE-2010-0515

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : il existe un problème de corruption de mémoire dans la gestion des fichiers vidéo encodés au format H.264. La lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par l’exécution de validations supplémentaires sur les fichiers vidéo encodés au format H.264. Nous remercions un chercheur anonyme travaillant avec TippingPoint et Zero Day Initiative d’avoir signalé ce problème.

  • QuickTime

    Référence CVE : CVE-2010-0516

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : il existe un dépassement de la mémoire tampon dans la gestion des fichiers vidéo encodés au format RLE. La lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par l’exécution de validations supplémentaires sur les fichiers vidéo encodés au format RLE. Nous remercions un chercheur anonyme travaillant avec TippingPoint et Zero Day Initiative d’avoir signalé ce problème.

  • QuickTime

    Référence CVE : CVE-2010-0517

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : un dépassement de la mémoire tampon existe dans la gestion des fichiers vidéo encodés au format M-JPEG. La lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par l’exécution de validations supplémentaires sur les fichiers vidéo encodés au format M-JPEG. Nous remercions Damian Put et un chercheur anonyme travaillant pour le programme Zero Day Initiative de TippingPoint d’avoir signalé ce problème.

  • QuickTime

    Référence CVE : CVE-2010-0518

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : un problème de corruption de mémoire existe dans la gestion des fichiers vidéo Sorenson. La lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par l’exécution de validations supplémentaires sur les fichiers vidéo encodés au format Sorenson. Merci à Will Dormann de CERT/CC d’avoir signalé ce problème.

  • QuickTime

    Référence CVE : CVE-2010-0519

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : un problème de dépassement d’entier existe dans la gestion des fichiers vidéo encodés au format FlashPix. La lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par la vérification améliorée des limites. Nous remercions un chercheur anonyme travaillant pour le programme Zero Day Initiative de TippingPoint d’avoir signalé ce problème. 

  • QuickTime

    Référence CVE : CVE-2010-0520

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : il existe un dépassement de la mémoire tampon dans la gestion des fichiers vidéo encodés au format FLC. La lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par l’exécution de validations supplémentaires sur les fichiers vidéo encodés au format FLC. Nous remercions Moritz Jodeit de n.runs AG travaillant pour le programme Zero Day Initiative de TippingPoint et Nicolas Joly de VUPEN Security d’avoir signalé ce problème.

  • QuickTime

    Référence CVE : CVE-2010-0526

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : la lecture d’un fichier MPEG construit de manière malveillante peut conduire à un blocage inattendu de l’application ou à l’exécution arbitraire de code

    Description : il existe un dépassement de la mémoire tampon dans la gestion des fichiers vidéo encodés au format MPEG. La lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par l’exécution de validations supplémentaires sur les fichiers vidéo encodés au format MPEG. Nous remercions un chercheur anonyme travaillant pour le programme Zero Day Initiative de TippingPoint d’avoir signalé ce problème.

  • Ruby

    Référence CVE : CVE-2009-2422, CVE-2009-3009, CVE-2009-4214

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : plusieurs problèmes dans Ruby on Rails

    Description : plusieurs vulnérabilités existent dans Ruby on Rails, la plus importante pouvant provoquer un scriptage intersite. Sur les systèmes Mac OS X 10.6, ces problèmes sont résolus par la mise à jour de Ruby on Rails en version 2.3.5. Les systèmes Mac OS X 10.5 sont affectés uniquement par CVE-2009-4214, et ce problème est résolu par l’amélioration de la validation d’arguments dans strip_tags.

  • Ruby

    Référence CVE : CVE-2009-1904

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : l’exécution d’un script Ruby utilisant une entrée non fiable pour l’initialisation d’un objet BigDecimal peut entraîner la fermeture inopinée d’une application

    Description : il existe un problème de débordement de pile avec la gestion par Ruby des objets BigDecimal de très haute valeur. L’exécution d’un script Ruby utilisant une entrée non fiable pour l’initialisation d’un objet BigDecimal peut entraîner la fermeture inopinée d’une application. Pour les systèmes Mac OS X 10.6, ce problème est résolu par la mise à jour de Ruby en version 1.8.7-p173. Pour les systèmes Mac OS X 10.5, ce problème est résolu par la mise à jour de Ruby en version 1.8.6-p369.

  • Admin Serveur

    Référence CVE : CVE-2010-0521

    Disponible pour : Mac OS X Server 10.5.8, Mac OS X Server 10.6 et 10.6.2

    Conséquence : un attaquant distant peut extraire des informations d’Open Directory

    Description : il existe un problème de conception dans la gestion de liaisons de répertoire authentifié. Un attaquant distant peut être en mesure d’extraire de façon anonyme des informations à partir d’Open Directory, même si l’option « Requiert une liaison authentifiée entre l’annuaire et les clients » est activée. Ce problème est résolu par la suppression de cette option de configuration. Ce problème concerne uniquement les systèmes MAC OS X Server. Nous remercions Scott Gruby de Gruby Solutions et Mathias Haack de GRAVIS Computervertriebsgesellschaft mbH d’avoir signalé ce problème.

  • Admin Serveur

    Référence CVE : CVE-2010-0522

    Disponible pour : Mac OS X Server 10.5.8

    Conséquence : un ancien administrateur peut disposer d’un accès non autorisé au partage d’écran

    Description : un utilisateur qui a été retiré du groupe « admin » peut toujours se connecter au serveur en utilisant le partage d’écran. Ce problème est résolu par une meilleure gestion des permissions d’administrateur. Ce problème affecte uniquement les systèmes Mac OS X Server et n’affecte pas les versions 10.6 ou ultérieures. Source : Apple.

  • SMB

    Référence CVE : CVE-2009-2906

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : un attaquant distant pourrait provoquer un déni de service

    Description : un problème de boucle infinie existe dans la gestion par Samba des notifications d’interruption « oplock ». Un attaquant distant peut être à même de déclencher une boucle infinie dans smbd, ce qui provoque la consommation excessive de ressources processeur par smbd. Ce problème est résolu par la gestion améliorée des notifications d’interruption « oplock ».

  • Tomcat

    Référence CVE : CVE-2009-0580, CVE-2009-0033, CVE-2009-0783, CVE-2008-5515, CVE-2009-0781, CVE-2009-2901, CVE-2009-2902, CVE-2009-2693

    Disponible pour : Mac OS X Server 10.5.8, Mac OS X Server 10.6 à 10.6.2

    Conséquence : Tomcat 6.0.18 possède plusieurs vulnérabilités

    Description : la mise à jour 6.0.24 de Tomcat résout plusieurs vulnérabilités, la plus importante pouvant provoquer une attaque de scriptage intersite. Tomcat est fourni uniquement sur les systèmes Mac OS X Server. Pour en savoir plus, consultez le site de Tomcat, à l’adresse http://tomcat.apache.org/

  • unzip

    Référence CVE : CVE-2008-0888

    Disponibles pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : l’extraction de fichiers zip construits de manière malveillante à l’aide de l’outil de commande unzip peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : il existe un problème de pointeur non initialisé dans la gestion des fichiers zip. L’extraction de fichiers zip construits de manière malveillante à l’aide de l’outil de commande unzip peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème a été résolu par l’exécution de validations supplémentaires sur les fichiers zip. Ce problème ne concerne pas les systèmes Mac OS X 10.6.

  • vim

    Référence CVE : CVE-2008-2712, CVE-2008-4101, CVE-2009-0316

    Disponibles pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : vim 7.0 comporte plusieurs vulnérabilités

    Description : vim 7.0 comporte plusieurs vulnérabilités dont la plus grave peut mener à l’exécution arbitraire de code lors de l’accès à des données de police malveillantes. Ces problèmes sont résolus par la mise à jour de vim en version 7.2.102. Ces problèmes ne concernent pas les systèmes antérieurs à Mac OS X 10.6. Vous trouverez des informations supplémentaires sur le site Web de vim à l’adresse http://www.vim.org/

  • Serveur Wiki

    Référence CVE : CVE-2010-0523

    Disponible pour : Mac OS X Server 10.5.8

    Conséquence : la consultation d’un applet construite de manière malveillante peut provoquer la divulgation d’informations confidentielles

    Description : Wiki Server permet aux utilisateurs de charger du contenu actif comme les applets Java. Un attaquant distant peut obtenir des informations confidentielles en chargeant un applet construit de manière malveillante et en demandant à un utilisateur Wiki Server de l’afficher. Ce problème est résolu par l’utilisation d’un cookie d’authentification à utilisation unique, et destiné exclusivement au téléchargement d’un fichier joint particulier. Ce problème affecte uniquement les systèmes Mac OS X Server et n’affecte pas les versions 10.6 ou ultérieures.

  • Serveur Wiki

    Référence CVE : CVE-2010-0534

    Disponible pour : Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : un utilisateur authentifié peut passer les restrictions de création de journal Web

    Description : Wiki Server gère les listes de contrôle d’accès au service (SACL) permettant à un administrateur de contrôler la publication de contenu. Wiki Server ne parvient pas à consulter le blog SACL pendant la création du journal Web d’un utilisateur. Cela peut permettre à un utilisateur authentifié de publier du contenu sur Wiki Server, même si la publication n’est pas censée être autorisée par les ACL de service. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.6.

  • X11

    Référence CVE : CVE-2009-2042

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : l’affichage d’une image construite de manière malveillante peut provoquer la divulgation d’informations confidentielles

    Description : libpng a été mise à jour en version 1.2.37 pour résoudre un problème pouvant résulter en la divulgation d’informations confidentielles. Vous trouverez des informations supplémentaires sur le site Web de libpng à l’adresse http://www.libpng.org/pub/png/libpng.html

  • X11

    Référence CVE : CVE-2003-0063

    Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 à 10.6.2, Mac OS X Server 10.6 à 10.6.2

    Conséquence : l’affichage de données construites de manière malveillante dans un terminal xterm peut conduire à l’exécution arbitraire de code

    Description : le programme xterm gère une séquence de commandes permettant de changer le titre de la fenêtre et d’afficher le titre de la fenêtre dans le terminal. Les informations renvoyées sont fournies au terminal comme s’il s’agissait d’entrées au clavier de la part de l’utilisateur. Dans un terminal xterm, l’affichage des données malveillantes contenant de telles séquences peut conduire à une injection de commande. Ce problème est résolu par la désactivation de la séquence de commandes affectée.

  • xar

    Référence CVE : CVE-2010-0055

    Disponibles pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Conséquence : un paquet modifié peut être présenté comme disposant d’une signature valide

    Description : il existe un problème de conception dans xar, relatif à la validation d’une signature de paquet. Cela peut permettre la présentation d’un paquet modifié comme paquet disposant d’une signature valide. Ce problème est résolu par l’amélioration de la validation de signature de paquet. Ce problème ne concerne pas les systèmes Mac OS X 10.6. Source : Apple.

Important : les mentions de sites Web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites Web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Date de publication: