À propos du correctif de sécurité de la mise à jour de Mac OS X 10.5.1 (client et serveur)
Ce document décrit le correctif de sécurité de la mise à jour de Mac OS X 10.5.1 (client et serveur), qui peut être téléchargé et installé via les préférences Mise à jour de logiciels ou à partir de la page Téléchargements d’Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».
Mise à jour de Mac OS X 10.5.1
Coupe-feu applicatif
Référence CVE : CVE-2007-4702
Disponible pour : Mac OS X 10.5, Mac OS X Server 10.5
Conséquence : le réglage Bloquer toutes les connexions entrantes pour le coupe-feu est trompeur.
Description : le réglage Bloquer toutes les connexions entrantes pour le coupe-feu applicatif permet à tout processus exécuté en tant que « root » d’utilisateur (UID 0) de recevoir des connexions entrantes, et permet également à mDNSResponder de recevoir des connexions. Cela pourrait entraîner une exposition inattendue des services réseau. Cette mise à jour résout le problème en décrivant plus précisément l’option comme autorisant uniquement les services essentiels, et en limitant les processus autorisés à recevoir des connexions entrantes dans le cadre de ce réglage à un ensemble limité de services système : configd (pour DHCP et autres protocoles de configuration réseau), mDNSResponder (pour Bonjour) et racoon (pour IPSec). Le contenu d’aide du coupe-feu applicatif est également mis à jour pour fournir de plus amples informations. Ce problème ne touche pas les systèmes antérieurs à Mac OS X 10.5.
Coupe-feu applicatif
Référence CVE : CVE-2007-4703
Disponible pour : Mac OS X 10.5, Mac OS X Server 10.5
Conséquence : les processus exécutés en tant que « root » d’utilisateur (UID 0) ne peuvent pas être bloqués lorsque le coupe-feu est défini sur Définir l’accès pour des services et des applications spécifiques.
Description : le réglage Définir l’accès pour des services et des applications spécifiques pour le coupe-feu applicatif permet à tout processus exécuté en tant que « root » d’utilisateur (UID 0) de recevoir des connexions entrantes, même si son exécutable est spécifiquement ajouté à la liste des programmes et que son entrée dans la liste indique Bloquer les connexions entrantes. Cela pourrait entraîner une exposition inattendue des services réseau. Cette mise à jour corrige le problème de sorte que tout exécutable ainsi marqué soit bloqué. Ce problème ne touche pas les systèmes antérieurs à Mac OS X 10.5.
Coupe-feu applicatif
Référence CVE : CVE-2007-4704
Disponible pour : Mac OS X 10.5, Mac OS X Server 10.5
Conséquence : les modifications apportées aux réglages du coupe-feu applicatif n’affectent pas les processus démarrés par launchd jusqu’à leur redémarrage.
Description : lorsque les réglages du coupe-feu applicatif sont modifiés, un processus en cours d’exécution démarré par launchd ne sera pas affecté tant qu’il n’aura pas été redémarré. Les utilisateurs peuvent s’attendre à ce que les modifications prennent effet immédiatement et ainsi laisser leur système exposé à l’accès au réseau. Cette mise à jour corrige le problème afin que les modifications prennent effet immédiatement. Ce problème ne touche pas les systèmes antérieurs à Mac OS X 10.5.