À propos des correctifs de sécurité d’OS X Mavericks 10.9
Ce document présente les correctifs de sécurité d’OS X Mavericks 10.9.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
OS X Mavericks 10.9
Coupe-feu applicatif
Conséquence : il se peut que la commande socketfilterfw --blockApp n’empêche pas les applications d’accéder aux connexions réseau.
Description : l’option --blockApp de l’outil de commande socketfilterfw ne permettait pas d’empêcher les applications d’accéder aux connexions réseau. Ce problème a été résolu par une meilleure gestion des options --blockApp.
Référence CVE
CVE-2013-5165 : Alexander Frangis de PopCap Games.
Applications sandboxées
Conséquence : le sandboxing d’applications peut être évité.
Description : l’interface LaunchServices, permettant de lancer une application, autorisait les applications sandboxées à déterminer la liste d’arguments à transmettre au nouveau processus. Une application sandboxée compromise pouvait tirer profit de cette situation pour contourner le processus de sandboxing. Ce problème a été résolu en interdisant les applications en sandbox à définir des arguments.
Référence CVE
CVE-2013-5179 : Friedrich Graeter de The Soulmen GbR.
Bluetooth
Conséquence : une application malveillante locale pouvait entraîner l’arrêt inopiné du système.
Descriptions : le contrôleur de l’hôte USB Bluetooth effaçait des interfaces nécessaires à l’exécution ultérieure d’opérations. Ce problème a été résolu par la conservation de l’interface jusqu’à ce qu’elle ne soit plus nécessaire.
Référence CVE
CVE-2013-5166 : Stefano Bianchi Mazzone, Mattia Pagnozzi, et Aristide Fattori du laboratoire de sécurité informatique et de sécurité des réseaux (LaSER), Università degli Studi di Milano.
CFNetwork
Conséquence : les cookies de session peuvent ne pas être supprimés après la réinitialisation de Safari.
Description : la réinitialisation de Safari ne permettait pas toujours de supprimer les cookies de session tant que le navigateur n’était pas fermé. Ce problème a été résolu par une meilleure gestion des cookies de session.
Référence CVE
CVE-2013-5167 : Graham Bennett, Rob Ansaldo d’Amherst College.
Protocole SSL de CFNetwork
Conséquence : un attaquant pouvait être en mesure de déchiffrer, en partie, une connexion SSL.
Description : les versions SSLv3 et TLS 1.0 du protocole SSL étaient les seules utilisées. Ces versions présentent une faiblesse au niveau du protocole en cas d’utilisation du chiffrement par blocs. Un attaquant de type « homme du milieu » pouvait injecter des données non valides, provoquant ainsi la fermeture de la connexion et la divulgation des données précédentes. Si l’utilisateur tentait d’établir la même connexion à plusieurs reprises, l’attaquant pouvait parvenir à déchiffrer les données envoyées (le mot de passe, par exemple). Ce problème a été résolu par l’activation de la version TLS 1.2.
Référence CVE
CVE-2011-3389
Console
Conséquence : le fait de cliquer sur une entrée de journal malveillante peut conduire à l’exécution arbitraire d’application.
Description : cette mise à jour modifiait le comportement de l’application Console lorsqu’un clic était effectué sur une entrée journal comportant une URL. Plutôt que d’ouvrir l’URL, l’application Console affiche désormais un aperçu de celle-ci dans l’application Coup d’œil.
Référence CVE
CVE-2013-5168 : Aaron Sigel de vtty.com.
CoreGraphics
Conséquence : les fenêtres peuvent être visibles par-dessus l’écran de verrouillage après l’activation du mode veille.
Description : un problème logique existait au niveau de la gestion, par CoreGraphics, du mode veille. Ceci provoquait une corruption des données pouvant entraîner l’affichage des fenêtres par-dessus l’écran de verrouillage. Ce problème a été résolu par une meilleure gestion du mode veille.
Référence CVE
CVE-2013-5169
CoreGraphics
Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.
Description : un dépassement de la mémoire tampon se produisait lors de la gestion des fichiers PDF. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2013-5170 : Will Dormann du CERT/CC.
CoreGraphics
Conséquence : une application ne disposant pas de privilèges peut enregistrer les touches saisies dans d’autres applications, même lorsque le mode de saisie sécurisée est activé.
Description : en enregistrant des combinaisons de touches pour la création de raccourcis, une application ne disposant pas de privilèges pouvait enregistrer les touches saisies dans d’autres applications, même lorsque le mode de saisie sécurisée était activé. Ce problème a été résolu pas une validation supplémentaire des raccourcis.
Référence CVE
CVE-2013-5171
cURL
Conséquence : curl comporte de nombreuses vulnérabilités.
Description : curl comportait de nombreuses vulnérabilités, la plus grave pouvant entraîner une exécution arbitraire de code. Ces problèmes ont été résolus par la mise à jour de curl vers la version 7.30.
Référence CVE
CVE-2013-0249
CVE-2013-1944
dyld
Conséquence : un attaquant capable de provoquer une exécution arbitraire de code sur un appareil est en mesure de forcer l’exécution d’un code lors des redémarrages.
Description : plusieurs problèmes de dépassement de la mémoire tampon existaient au niveau de la fonction openSharedCacheFile() de dyld. Ces problèmes ont été résolus par une meilleure vérification des limites.
Référence CVE
CVE-2013-3950 : Stefan Esser.
IOKitUser
Conséquence : une application malveillante locale pouvait entraîner l’arrêt inopiné du système.
Description : un déréférencement de pointeurs null existait dans IOCatalogue. Ce problème a été résolu par une vérification supplémentaire des types.
Référence CVE
CVE-2013-5138 : Will Estes.
IOSerialFamily
Conséquence : l’exécution d’une application malveillante peut entraîner une exécution arbitraire de code au niveau du noyau.
Description : l’accès à un tableau hors limites se produisait avec le gestionnaire IOSerialFamily. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2013-5139 : @dent1zt.
Noyau
Conséquence : l’utilisation des fonctions de hachage SHA-2 dans le noyau peut provoquer l’arrêt inattendu du système.
Description : une longueur de sortie incorrecte était utilisée pour la famille SHA-2 des fonctions de hachage. L’utilisation de ces fonctions provoquait alors une erreur grave du noyau, principalement au cours des connexions IPSec. Ce problème a été résolu par l’utilisation de la longueur de sortie correcte.
Référence CVE
CVE-2013-5172 : Christoph Nadig de Lobotomo Software.
Noyau
Conséquence : la mémoire de la pile noyau peut être divulguée aux utilisateurs locaux.
Description : un problème de divulgation d’informations existait dans les API msgctl et segctl. Ce problème a été résolu par l’initialisation des structures de données renvoyées par le noyau.
Référence CVE
CVE-2013-5142 : Kenzley Alphonse de Kenx Technology, Inc.
Noyau
Conséquence : un utilisateur local peut provoquer un déni de service.
Description : le générateur de nombres aléatoires du noyau maintenait un verrouillage tout en satisfaisant une requête provenant de l’espace utilisateur. Cela permettait à un utilisateur local d’effectuer une requête volumineuse et de maintenir le verrouillage pendant de longues périodes, entraînant un déni de service pour les autres utilisateurs du générateur de nombres aléatoires. Ce problème a été résolu en libérant et en réappliquant le verrouillage plus fréquemment lors du traitement de requêtes volumineuses.
Référence CVE
CVE-2013-5173 : Jaakko Pero de l’université Aalto.
Noyau
Conséquence : un utilisateur local ne disposant pas de privilèges peut être en mesure de provoquer un arrêt inopiné du système.
Description : un problème relatif au signe d’un nombre entier survenait lors de la lecture des données de téléscripteur. Ce problème a été résolu par une meilleure gestion de la lecture des données de téléscripteur.
Référence CVE
CVE-2013-5174 : CESG.
Noyau
Conséquence : un utilisateur local peut provoquer la divulgation des informations relatives à la mémoire du noyau ou un arrêt inopiné du système.
Description : un problème de lecture hors limites existait au niveau de la gestion des fichiers Mach-O. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2013-5175
Noyau
Conséquence : un utilisateur local peut provoquer un blocage du système.
Description : un problème de troncature d’entier existait au niveau de la gestion des téléscripteurs. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2013-5176 : CESG.
Noyau
Conséquence : un utilisateur local peut provoquer l’arrêt inopiné du système.
Description : une erreur grave du noyau pouvait survenir lors de la détection d’une structure iovec invalide fournie par l’utilisateur. Ce problème a été résolu par une meilleure validation des structures iovec.
Référence CVE
CVE-2013-5177 : CESG.
Noyau
Conséquence : des processus ne disposant pas de privilèges peuvent entraîner l’arrêt inopiné du système ou une exécution arbitraire de code dans le noyau.
Description : un problème de corruption de la mémoire existait au niveau du traitement des arguments de l’API posix_spawn. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2013-3954 : Stefan Esser.
Noyau
Conséquence : les programmes multicast spécifiques à une source peuvent provoquer un arrêt inopiné du système lors de l’utilisation d’un réseau Wi-Fi.
Description : un problème de vérification des erreurs existait au niveau de la gestion des paquets multicasts. Ce problème a été résolu par une meilleure gestion des paquets multicasts.
Référence CVE
CVE-2013-5184 : Octoshape.
Noyau
Conséquence : un attaquant se trouvant sur un réseau local peut provoquer un déni de service.
Description : un attaquant se trouvant sur un réseau local pouvait envoyer des paquets IPv6 ICMP spécialement conçus et augmenter la charge du processeur. Ce problème a été résolu par la limitation du taux de paquets ICMP avant la vérification de leur somme de contrôle.
Référence CVE
CVE-2011-2391 : Marc Heuse.
Noyau
Conséquence : une application locale malveillante pouvait provoquer un blocage du système.
Description : un problème de troncature d’entier existait au niveau de l’interface socket du noyau, et pouvait être exploité pour imposer une boucle infinie au processeur. Ce problème a été résolu par l’utilisation d’une variable plus large.
Référence CVE
CVE-2013-5141 : CESG.
Gestion Kext
Conséquence : un processus non autorisé peut désactiver certaines extensions de noyau chargées.
Description : un problème existait au niveau du traitement, par kext, des messages IPC envoyés par des expéditeurs non authentifiés. Ce problème a été résolu par l’ajout de vérifications supplémentaires au niveau des autorisations.
Référence CVE
CVE-2013-5145 : Rainbow PRISM.
LaunchServices
Conséquence : un fichier pouvait porter une extension incorrecte.
Description : un problème existait au niveau du traitement de certains caractères Unicode, ce qui pouvait entraîner l’affichage d’extensions incorrectes dans certains noms de fichier. Ce problème a été résolu en empêchant l’affichage de caractères Unicode non sécurisés dans les noms de fichiers.
Référence CVE
CVE-2013-5178 : Jesse Ruderman de Mozilla Corporation, Stephane Sudre d’Intego.
Libc
Conséquence : au cours de circonstances inhabituelles, certains nombres aléatoires peuvent être prévisibles.
Description : si la fonction srandomdev() ne pouvait pas accéder au générateur de nombres aléatoires du noyau, elle avait recours à une méthode alternative, laquelle avait été supprimée par optimisation. Les nombres n’étaient alors plus créés de manière aléatoire. Ce problème a été résolu par l’adaptation du code aux mesures d’optimisation.
Référence CVE
CVE-2013-5180 : Xi Wang.
Comptes de messagerie
Conséquence : l’application Mail ne choisit pas systématiquement la méthode d’authentification disponible la plus sécurisée.
Description : lors de l’autoconfiguration d’un compte de messagerie sur certains serveurs de messagerie, l’application Mail choisissait l’authentification en texte clair plutôt que l’authentification CRAM-MD5. Ce problème a été résolu par une meilleure gestion logique.
Référence CVE
CVE-2013-5181
Affichage de l’en-tête des e-mails
Conséquence : un message non signé peut apparaître comme disposant d’une signature valide.
Description : un problème logique existait au niveau de la gestion, par l’application Mail, des messages non signés comportant néanmoins une partie multipart/signed. Ce problème a été résolu par une meilleure gestion des messages non signés.
Référence CVE
CVE-2013-5182 : Michael Roitzsch de la Technische Universität Dresden.
Réseaux utilisés par l’application Mail
Conséquence : des informations peuvent momentanément être transférées en texte clair lorsqu’un protocole de chiffrement autre que le protocole TLS est configuré.
Description : lorsque l’authentification Kerberos était activée et que le protocole TLS ne l’était pas, l’application Mail envoyait certaines données non chiffrées au serveur de messagerie. Cela provoquait une interruption inopinée de la connexion. Ce problème a été résolu par une meilleure gestion de cette configuration.
Référence CVE
CVE-2013-5183 : Richard E. Silverman de www.qoxp.net.
OpenLDAP
Conséquence : l’outil de commande ldapsearch ne respectait pas la configuration minssf.
Description : l’outil de commande ldapsearch ne respectait pas la configuration minssf. Ceci pouvait provoquer l’autorisation inopinée d’un chiffrement faible. Ce problème a été résolu par une meilleure gestion de la configuration minssf.
Référence CVE
CVE-2013-5185
Perl
Conséquence : les scripts Perl peuvent être vulnérables aux dénis de services.
Description : le mécanisme de rehachage, dans les versions obsolètes de Perl, pouvait être vulnérable aux dénis de services au niveau des scripts utilisant, comme clés de hachage, des entrées non sécurisées. Ce problème peut être résolu par la mise à jour vers Perl 5.16.2.
Référence CVE
CVE-2013-1667
Gestion de l’alimentation
Conséquence : l’écran peut ne pas se verrouiller après l’intervalle de temps indiqué.
Description : un problème de verrouillage existait au niveau de la gestion de l’alimentation. Ce problème a été résolu par une meilleure gestion du verrouillage.
Référence CVE
CVE-2013-5186 : David Herman de Sensible DB Design.
python
Conséquence : python 2.7 comporte de nombreuses vulnérabilités.
Description : python 2.7.2 comportait de nombreuses vulnérabilités, la plus grave pouvant entraîner le déchiffrement du contenu d’une connexion SSL. Cette mise à jour permet de résoudre ces problèmes en mettant à jour python vers la version 2.7.5. Pour obtenir des informations supplémentaires, consultez le site Web de python à l’adresse http://www.python.org/download/releases/.
Référence CVE
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
python
Conséquence : python 2.6.7 comporte de nombreuses vulnérabilités.
Description : python 2.6.7 comportait de nombreuses vulnérabilités, la plus grave pouvant entraîner le déchiffrement du contenu d’une connexion SSL. Cette mise à jour permet de résoudre ces problèmes en mettant à jour python vers la version 2.6.8 et en appliquant le correctif CVE-2011-4944 du projet Python. Pour obtenir des informations supplémentaires, consultez le site de python à l’adresse http://www.python.org/download/releases/.
Référence CVE
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
ruby
Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter les identifiants de l’utilisateur ou d’autres données sensibles.
Description : un problème de validation du nom d’hôte existait au niveau de la gestion, par Ruby, des certificats SSL. Ce problème a été résolu par la mise à jour de Ruby vers la version 2.0.0p247.
Référence CVE
CVE-2013-4073
Sécurité
Conséquence : la compatibilité des certificats X.509 avec les hachages MD5 peut exposer les utilisateurs à un acte malveillant et une divulgation d’informations au fur et à mesure que les attaques s’améliorent.
Description : les certificats signés à l’aide de l’algorithme de hachage MD5 étaient acceptés par OS X. Cet algorithme possède des faiblesses cryptographiques connues. Des recherches complémentaires ou une autorité de certification mal configurée peuvent conduire à la création de certificats X.509 contenant des valeurs contrôlées par l’attaquant et que le système juge dignes de confiance. Les protocoles X.509 peuvent être la cible d’actes malveillants, d’attaques de l’homme du milieu et de divulgations d’informations. Cette mise à jour désactive la prise en charge d’un certificat X.509 avec un hachage MD5 pour toute utilisation autre qu’en tant que certificat racine de confiance.
Référence CVE
CVE-2011-3427
Sécurité : autorisation
Conséquence : les préférences de sécurité d’un administrateur ne sont pas respectées.
Description : le réglage « Exiger un mot de passe d’administrateur pour accéder aux préférences système verrouillées » permet aux administrateurs d’ajouter une protection supplémentaire aux réglages système sensibles. Dans certains cas, la mise à jour ou à niveau d’un logiciel entraînait la désactivation de ce réglage. Ce problème a été résolu par une meilleure gestion des droits d’autorisation.
Référence CVE
CVE-2013-5189 : Greg Onufer.
Sécurité : services de carte d’accès
Conséquence : les services de carte d’accès peuvent ne pas être disponibles lorsque la vérification des révocations de certificats était activée.
Description : un problème logique existait au niveau de la gestion, par OS X, des vérifications des révocations de certificats de cartes d’accès. Ce problème a été résolu par une meilleure prise en charge de la révocation des certificats.
Référence CVE
CVE-2013-5190 : Yongjun Jeon de Centrify Corporation.
Verrouillage de l’écran
Conséquence : la commande « Verrouillage de l’écran » peut ne pas prendre immédiatement effet.
Description : la commande « Verrouillage de l’écran » de l’élément de la barre de menu État du trousseau pouvait ne pas prendre effet après l’expiration du délai associé au réglage « Exiger un mot de passe [durée] après la mise en veille ou avant l’affichage de l’économiseur d’écran ».
Référence CVE
CVE-2013-5187 : Michael Kisor d’OrganicOrb.com, Christian Knappskog de NTNU (Université norvégienne de sciences et de technologie), Stefan Grönke (CCC Trier), Patrick Reed.
Verrouillage de l’écran
Conséquence : aucun mot de passe n’est requis lors de la sortie de veille prolongée d’un Mac sur lequel la connexion automatique est activée.
Description : aucun mot de passe n’était requis lors de la sortie de veille d’un Mac sur lequel la connexion automatique et le mode veille prolongée étaient activés. Ce problème a été résolu par une meilleure gestion du verrouillage.
Référence CVE
CVE-2013-5188 : Levi Musters.
Serveur de partage d’écran
Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code.
Description : une vulnérabilité existait au niveau de la chaîne de format lors du traitement du nom d’utilisateur du VNC par le serveur de partage d’écran.
Référence CVE
CVE-2013-5135 : SilentSignal en association avec iDefense VCP.
syslog
Conséquence : un utilisateur invité peut consulter les messages d’historique des précédents invités.
Description : l’historique de la console était visible par les utilisateurs invités et contenait les messages des sessions d’utilisateurs invités précédents. Ce problème a été résolu en rendant l’historique de la console des utilisateurs invités visible uniquement par les administrateurs.
Référence CVE
CVE-2013-5191 : Sven-S. Porst d’earthlingsoft.
USB
Conséquence : une application malveillante locale pouvait entraîner l’arrêt inopiné du système.
Description : le contrôleur de concentrateur USB ne vérifiait pas le port et le numéro de port des requêtes. Ce problème a été résolu par l’ajout de vérifications du port et du numéro de port.
Référence CVE
CVE-2013-5192 : Stefano Bianchi Mazzone, Mattia Pagnozzi, et Aristide Fattori du laboratoire de sécurité informatique et de sécurité des réseaux (LaSER), Università degli Studi di Milano.
Remarque : OS X Mavericks comprend Safari 7.0, qui intègre les correctifs de sécurité de Safari 6.1. Pour obtenir des informations supplémentaires, consultez l’article « À propos des correctifs de sécurité de Safari 6.1 » à l’adresse http://support.apple.com/kb/HT6000?viewlocale=fr_FR.
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.