À propos de la mise à jour de sécurité 2014-002

Ce document décrit les correctifs de sécurité de la mise à jour de sécurité 2014-002.

La mise à jour liée peut être téléchargée et installée via Mise à jour logicielle ou à partir de la page Téléchargements du site d’Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

  • CFNetwork HTTPProtocol

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 et OS X Mavericks 10.9.2.

    Conséquence : un attaquant profitant d’une position privilégiée sur le réseau peut obtenir les identifiants de connexion à un site Web.

    Description : les en-têtes HTTP de type « Set-Cookie » étaient traités, même si la connexion était interrompue avant que la ligne liée soit complétée. Un attaquant pouvait extraire les réglages de sécurité du cookie en forçant l’interruption de la connexion, et ce avant que ces réglages ne soient transmis. De cette manière, il était possible d’obtenir la valeur correspondant au cookie non protégé. Ce problème a été résolu par la non-prise en compte des lignes d’en-têtes HTTP incomplètes.

    Référence CVE

    CVE-2014-1296 : Antoine Delignat-Lavaud de Prosecco chez Inria Paris.

  • CoreServicesUIAgent

    Disponible pour : OS X Mavericks 10.9.2.

    Conséquence : la consultation d’un site Web malveillant, ou l’utilisation d’une URL malveillante, peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de mise en forme existait au niveau de la gestion des URL. Ce problème a été résolu par une validation supplémentaire des URL. Il n’affecte pas les systèmes antérieurs à OS X Mavericks.

    Référence CVE

    CVE-2014-1315 : Lukasz Pilorz d’runic.pl, Erik Kooistra.

  • FontParser

    Disponible pour : OS X Mountain Lion 10.8.5.

    Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de débordement inférieur de la mémoire tampon existait au niveau de la gestion des polices incluses aux fichiers PDF. Ce problème a été résolu par une vérification supplémentaire des limites. Il n’affecte pas les systèmes OS X Mavericks.

    Référence CVE

    CVE-2013-5170 : Will Dormann de CERT/CC.

  • Heimdal Kerberos

    Disponible pour : OS X Mavericks 10.9.2.

    Conséquence : un attaquant distant peut être à l’origine d’un déni de service.

    Description : il existait un problème de type « reachable abort » au niveau de la gestion des données ASN.1. Ce problème a été résolu par une validation supplémentaire des données ASN.1.

    Référence CVE

    CVE-2014-1316 : Joonas Kuorilehto of Codenomicon.

  • ImageIO

    Disponible pour : OS X Mavericks 10.9.2.

    Conséquence : l’affichage d’une image JPEG malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion, par ImageIO, des images JPEG. Ce problème a été résolu par une meilleure vérification des limites. Il n’affecte pas les systèmes antérieurs à OS X Mavericks.

    Référence CVE

    CVE-2014-1319 : Cristian Draghici de Modulo Consulting, Karl Smith de NCC Group.

  • Gestionnaires Intel Graphics

    Disponible pour : OS X Mountain Lion 10.8.5 et OS X Mavericks 10.9.2.

    Conséquence : une application malicieuse peut contrôler le système.

    Description : un problème de validation existait au niveau de la gestion d’un pointeur. Ce problème a été résolu par une validation supplémentaire des pointeurs.

    Référence CVE

    CVE-2014-1318 : Ian Beer de Google Project Zero en collaboration avec le programme Zero Day Initiative d’HP.

  • Noyau IOKit

    Disponible pour : OS X Mavericks 10.9.2.

    Conséquence : un utilisateur local peut être en mesure de lire des pointeurs du noyau, et ainsi faire fi de la randomisation de la disposition de l’espace d’adressage applicable au noyau.

    Description : un ensemble de pointeurs du noyau, stockés dans un objet IOKit, pouvait être extrait. Ce problème a été résolu par la suppression des pointeurs au niveau de l’objet.

    Référence CVE

    CVE-2014-1320 : Ian Beer de Google Project Zero en collaboration avec le programme Zero Day Initiative d’HP.

  • Noyau

    Disponible pour : OS X Mavericks 10.9.2.

    Conséquence : un utilisateur local peut être en mesure de lire un pointeur du noyau, et ainsi faire fi de la randomisation de la disposition de l’espace d’adressage applicable au noyau.

    Description : un pointeur du noyau, stocké dans un objet XNU, pouvait être extrait. Ce problème a été résolu par la suppression du pointeur au niveau de l’objet.

    Référence CVE

    CVE-2014-1322 : Ian Beer de Google Project Zero.

  • Gestion de l’alimentation

    Disponible pour : OS X Mavericks 10.9.2.

    Conséquence : il est possible que l’écran ne se verrouille pas.

    Description : si une touche était actionnée, ou le trackpad utilisé, juste après la fermeture de l’écran, le système pouvait tenter de se réactiver, ce qui empêchait alors le verrouillage de ce même écran. Ce problème a été résolu par la non-prise en compte des touches actionnées lors du passage en mode veille. Il n’affecte pas les systèmes antérieurs à OS X Mavericks.

    Référence CVE

    CVE-2014-1321 : Paul Kleeberg de Stratis Health Bloomington MN, Julian Sincu de la Baden-Württemberg Cooperative State University (DHBW Stuttgart), Gerben Wierda de R&A, Daniel Luz.

  • Ruby

    Disponible pour : OS X Mavericks 10.9.2.

    Conséquence : l’exécution d’un script Ruby, prenant en charge des balises YAML non fiables, pouvait entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de dépassement d’entier existait au niveau de la gestion, par LibYAML, des balises YAML. Ce problème a été résolu par une validation supplémentaire des balises YAML. Il n’affecte pas les systèmes antérieurs à OS X Mavericks.

    Référence CVE

    CVE-2013-6393

  • Ruby

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 et OS X Mavericks 10.9.2.

    Conséquence : l’exécution d’un script Ruby utilisant des entrées non fiables pour créer un objet Float peut provoquer la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait dans Ruby, lors de la conversion d’une chaîne en valeur de point flottante. Ce problème a été résolu par une validation supplémentaire des valeurs de point flottantes.

    Référence CVE

    CVE-2013-4164

  • Sécurité - Secure Transport

    Disponible pour : OS X Mountain Lion 10.8.5 et OS X Mavericks 10.9.2.

    Conséquences : un attaquant possédant une position privilégiée de réseau peut inscrire des données ou modifier les opérations effectuées dans les sessions protégées par SSL

    Description : en cas d’attaque de type « triple handshake », un attaquant pouvait établir deux connexions, associées aux mêmes clés de chiffrement et à la même handshake, transférer ses données dans l’une d’elles, puis faire en sorte que les deux connexions interagissent. Pour empêcher de telles attaques, des modifications ont été apportées au protocole Secure Transport. Ainsi, l’utilisation du même certificat serveur est désormais nécessaire. Ce problème n’affecte pas les systèmes Mac OS X 10.7 (ou antérieurs).

    Référence CVE

    CVE-2014-1295 : Antoine Delignat-Lavaud, Karthikeyan Bhargavan et Alfredo Pironti de Prosecco chez Inria Paris.

  • WindowServer

    Disponible pour : OS X Mountain Lion 10.8.5 et OS X Mavericks 10.9.2.

    Conséquence : des applications malicieuses peuvent exécuter un code arbitraire hors de la sandbox.

    Description : des sessions WindowServer pouvaient être créées par des applications sandboxées. Ce problème a été résolu en empêchant la création, par de telles applications, de sessions WindowServer.

    Référence CVE

    CVE-2014-1314 : KeenTeam en collaboration avec le programme Zero Day Initiative d’HP.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: