À propos des correctifs de sécurité d’OS X Yosemite 10.10.2 et de la mise à jour de sécurité 2015-001

Ce document décrit les correctifs de sécurité d’OS X Yosemite 10.10.2 et de la mise à jour de sécurité 2015-001.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

OS X Yosemite 10.10.2 et mise à jour de sécurité 2015-001

  • AFP Server

    Disponible pour : OS X Mavericks 10.9.5

    Conséquence : un attaquant distant pouvait être en mesure de déterminer toutes les adresses réseau du système.

    Description : le serveur de fichiers AFP prenait en charge une commande qui renvoyait toutes les adresses réseau du système. Ce problème a été résolu par la suppression des adresses dans le résultat.

    Référence CVE

    CVE-2014-4426 : Craig Young de Tripwire VERT

  • bash

    Disponible pour : OS X Yosemite 10.10 et 10.10.1

    Conséquence : bash présentait plusieurs vulnérabilités, dont une qui pouvait permettre à des attaquants locaux d’exécuter du code arbitraire.

    Description : plusieurs vulnérabilités existaient dans bash. Ces problèmes ont été résolus par la mise à jour de bash à l’aide du correctif 57.

    Références CVE

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : IOBluetoothFamily présentait une erreur de signature d’entier permettant la manipulation de la mémoire du noyau. Ce problème a été résolu par une meilleure vérification des limites. Ce problème ne concerne pas les systèmes exécutant OS X Yosemite.

    Référence CVE

    CVE-2014-4497

  • Bluetooth

    Disponible pour : OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : le pilote Bluetooth présentait une erreur permettant à une application malveillante de contrôler la taille d’une écriture dans la mémoire du noyau. Ce problème a été résolu par une validation supplémentaire des entrées.

    Référence CVE

    CVE-2014-8836 : Ian Beer de Google Project Zero

  • Bluetooth

    Disponible pour : OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : le pilote Bluetooth présentait plusieurs problèmes de sécurité permettant à une application malveillante d’exécuter du code arbitraire avec des privilèges système. Ces problèmes ont été résolus par une validation supplémentaire des entrées.

    Référence CVE

    CVE-2014-8837 : Roberto Paleari et Aristide Fattori d’Emaze Networks

  • CFNetwork Cache

    Disponible pour : OS X Yosemite 10.10 et 10.10.1

    Conséquence : le cache des sites web pouvait ne pas être complètement vide après la fermeture de la session de navigation privée.

    Description : il existait un problème de confidentialité à cause duquel des données de navigation pouvaient être conservées dans le cache après la fermeture de la session de navigation privée. Ce problème a été résolu par une modification du comportement de mise en cache.

    Référence CVE

    CVE-2014-4460

  • CoreGraphics

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : l’ouverture d’un fichier PDF malveillant pouvait entraîner la fermeture inopinée d’une application ou l’exécution de code arbitraire.

    Description : la gestion des fichiers PDF présentait un problème de dépassement d’entier. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4481 : Felipe Andres Manzano du Binamuse VRT, via le programme iSIGHT Partners GVP

  • CPU Software

    Disponible pour : OS X Yosemite 10.10 et 10.10.1, MacBook Pro Retina, MacBook Air (mi-2013 et modèles ultérieurs), iMac (fin 2013 et modèles ultérieurs), Mac Pro (fin 2013)

    Conséquence : un périphérique Thunderbolt malveillant pouvait être en mesure d’affecter le fonctionnement du micrologiciel.

    Description : des périphériques Thunderbolt pouvaient modifier le micrologiciel de l’hôte s’ils étaient connectés pendant une mise à jour de l’EFI. Ce problème a été résolu par le non-chargement des ROM facultatives lors des mises à jour.

    Référence CVE

    CVE-2014-4498 : Trammell Hudson de Two Sigma Investments

  • CommerceKit Framework

    Disponible pour : OS X Yosemite 10.10 et 10.10.1

    Conséquence : un attaquant ayant accès à un système pouvait être en mesure de récupérer des identifiants de compte Apple.

    Description : la gestion des historiques de l’App Store présentait un problème. Le processus de l’App Store pouvait journaliser des identifiants de compte Apple dans l’historique lorsqu’une journalisation supplémentaire était activée. Ce problème a été résolu en empêchant la journalisation des informations d’identification.

    Référence CVE

    CVE-2014-4499 : Sten Petersen

  • CoreGraphics

    Disponible pour : OS X Yosemite 10.10 et 10.10.1

    Conséquence : certaines applications tierces avec des évènements de saisie de texte et de souris non sécurisés pouvaient journaliser ces évènements.

    Description : en raison de la combinaison d’une variable non initialisée et de l’allocateur personnalisé d’une application, des évènements de saisie de texte et de souris non sécurisés pouvaient être journalisés. Ce problème a été résolu en s’assurant que la journalisation est désactivée par défaut. Ce problème ne concernait pas les systèmes antérieurs à OS X Yosemite.

    Référence CVE

    CVE-2014-1595 : Steven Michaud de Mozilla en collaboration avec Kent Howard

  • CoreGraphics

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Conséquence : l’ouverture d’un fichier PDF malveillant pouvait entraîner la fermeture inopinée d’une application ou l’exécution de code arbitraire.

    Description : la gestion des fichiers PDF présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure vérification des limites. Ce problème ne concerne pas les systèmes exécutant OS X Yosemite.

    Référence CVE

    CVE-2014-8816 : Mike Myers de Digital Operatives LLC

  • CoreSymbolication

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : la gestion des messages XPC par coresymbolicationd présentait plusieurs problèmes de confusion de types. Ces problèmes ont été résolus par une meilleure vérification des types.

    Référence CVE

    CVE-2014-8817 : Ian Beer de Google Project Zero

  • FontParser

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : le traitement d’un fichier .dfont malveillant pouvait entraîner la fermeture inopinée d’une application ou l’exécution de code arbitraire.

    Description : la gestion des fichiers .dfont présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4484 : Gaurav Baruah en collaboration avec l’initiative Zero Day de HP

  • FontParser

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : l’ouverture d’un fichier PDF malveillant pouvait entraîner la fermeture inopinée d’une application ou l’exécution de code arbitraire.

    Description : la gestion des fichiers de polices présentait un problème de dépassement de la mémoire tampon. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4483 : Apple

  • Foundation

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : l’affichage d’un fichier XML malveillant pouvait entraîner la fermeture inopinée d’une application ou l’exécution de code arbitraire.

    Description : l’analyseur XML présentait un problème de dépassement de la mémoire tampon. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4485 : Apple

  • Intel Graphics Driver

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : le gestionnaire Intel Graphics présentait plusieurs vulnérabilités.

    Description : le gestionnaire Intel Graphics présentait plusieurs vulnérabilités, dont la plus grave pouvait entraîner l’exécution de code arbitraire avec des privilèges système. Ces problèmes ont été résolus par une vérification supplémentaire des limites.

    Références CVE

    CVE-2014-8819 : Ian Beer de Google Project Zero

    CVE-2014-8820 : Ian Beer de Google Project Zero

    CVE-2014-8821 : Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : la gestion de certains types userclient IOService par IOAcceleratorFamily présentait un problème de déréférencement de pointeurs null. Ce problème a été résolu par une meilleure validation des contextes IOAcceleratorFamily.

    Référence CVE

    CVE-2014-4486 : Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : IOHIDFamily présentait un problème de dépassement de la mémoire tampon. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4487 : TaiG Jailbreak Team

  • IOHIDFamily

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : la gestion des métadonnées des files d’attente de ressources par IOHIDFamily présentait un problème de validation. Il a été résolu par une meilleure validation des métadonnées.

    Référence CVE

    CVE-2014-4488 : Apple

  • IOHIDFamily

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : la gestion des files d’attente d’évènements par IOHIDFamily présentait un problème de déréférencement de pointeurs null. Ce problème a été résolu par une meilleure validation de l’initialisation des files d’attente d’évènements IOHIDFamily.

    Référence CVE

    CVE-2014-4489 : @beist

  • IOHIDFamily

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : l’exécution d’une application malveillante peut entraîner l’exécution de code arbitraire au sein du noyau.

    Description : un problème de vérification des limites existait au niveau d’un client utilisateur fourni par le pilote IOHIDFamily qui permettait à une application malveillante d’écraser des portions arbitraires de l’espace d’adressage applicable au noyau. Ce problème a été résolu par la suppression de la méthode du client utilisateur vulnérable.

    Référence CVE

    CVE-2014-8822 : Vitaliy Toropov en collaboration avec le programme Zero Day Initiative de HP

  • IOKit

    Disponible pour : OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : la gestion des fonctions IOKit présentait un problème de dépassement d’entier. Il a été résolu par une meilleure validation des arguments de l’API IOKit.

    Référence CVE

    CVE-2014-4389 : Ian Beer de Google Project Zero

  • IOUSBFamily

    Disponible pour : OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application à privilèges pouvait être en mesure de lire des données arbitraires à partir de la mémoire du noyau.

    Description : la gestion des fonctions du client utilisateur du contrôleur IOUSB présentait un problème d’accès à la mémoire. Ce problème a été résolu par une meilleure validation des arguments.

    Référence CVE

    CVE-2014-8823 : Ian Beer de Google Project Zero

  • Kerberos

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : la bibliothèque libgssapi Kerberos renvoyait un jeton de contexte avec un pointeur suspendu. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2014-5352

  • Kernel

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : la spécification d’un mode de cache personnalisé autorisait l’écriture dans des segments de mémoire partagée en lecture seule du noyau. Ce problème a été résolu en n’accordant pas d’autorisations d’écriture avec certains modes de cache personnalisés.

    Référence CVE

    CVE-2014-4495 : Ian Beer de Google Project Zero

  • Kernel

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : la gestion de certains champs de métadonnées des objets IODataQueue présentait un problème de validation. Il a été résolu par une meilleure validation des métadonnées.

    Référence CVE

    CVE-2014-8824 : @PanguTeam

  • Kernel

    Disponible pour : OS X Yosemite 10.10 et 10.10.1

    Conséquence : un attaquant local pouvait usurper les réponses des services d’annuaire au noyau, augmenter les privilèges ou exécuter le noyau.

    Description : la validation identitysvc du processus de résolution des services d’annuaire, la gestion des indicateurs et la gestion des erreurs présentaient des problèmes. Il a été résolu par une meilleure validation.

    Référence CVE

    CVE-2014-8825 : Alex Radocea de CrowdStrike

  • Kernel

    Disponible pour : OS X Yosemite 10.10 et 10.10.1

    Conséquence : un utilisateur local pouvait être en mesure de déterminer la structure de la mémoire du noyau.

    Description : l’interface applicable aux statistiques réseau présentait plusieurs problèmes de mémoire non initialisée, qui entraînaient la divulgation du contenu de la mémoire du noyau. Ce problème a été résolu par une initialisation supplémentaire de la mémoire.

    Références CVE

    CVE-2014-4371 : Fermin J. Serna de l’équipe de sécurité de Google

    CVE-2014-4419 : Fermin J. Serna de l’équipe de sécurité de Google

    CVE-2014-4420 : Fermin J. Serna de l’équipe de sécurité de Google

    CVE-2014-4421 : Fermin J. Serna de l’équipe de sécurité de Google

  • Kernel

    Disponible pour : OS X Mavericks 10.9.5

    Conséquence : une personne bénéficiant d’une position privilégiée sur le réseau pouvait provoquer un déni de service.

    Description : la gestion des paquets IPv6 présentait un problème de concurrence. Il a été résolu par une meilleure vérification de l’état Verrouillé.

    Référence CVE

    CVE-2011-2391

  • Kernel

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : des applications malveillantes ou compromises pouvaient être en mesure de déterminer les adresses dans le noyau.

    Description : la gestion des API liées aux extensions de noyau présentait un problème de divulgation d’informations. Les réponses contenant une clé OSBundleMachOHeaders pouvaient inclure des adresses du noyau. Ceci permettait notamment de contourner le système de protection de la randomisation de la disposition de l’espace d’adressage. Ce problème a été résolu par l’annulation du glissement des adresses avant de les renvoyer.

    Référence CVE

    CVE-2014-4491 : @PanguTeam, Stefan Esser

  • Kernel

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : la gestion de certains champs de métadonnées des objets IOSharedDataQueue présentait un problème de validation. Ce problème a été résolu par un déplacement des métadonnées.

    Référence CVE

    CVE-2014-4461 : @PanguTeam

  • LaunchServices

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : un fichier JAR malveillant pouvait contourner les vérifications de Gatekeeper.

    Description : la gestion des lancements d’application présentait un problème permettant à certains fichiers JAR malveillants de contourner les vérifications de Gatekeeper. Ce problème a été résolu par une meilleure gestion des métadonnées de type de fichier.

    Référence CVE

    CVE-2014-8826 : Hernan Ochoa d’Amplia Security

  • libnetcore

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : une app en sandbox pouvait compromettre le démon networkd.

    Description : la gestion des communications interprocessus par networkd présentait plusieurs problèmes de confusion de types. En envoyant un message malveillant à networkd, il pouvait être possible d’exécuter du code arbitraire au nom du processus networkd. Ce problème a été résolu par une vérification supplémentaire des types.

    Référence CVE

    CVE-2014-4492 : Ian Beer de Google Project Zero

  • LoginWindow

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : un Mac pouvait ne pas se verrouiller immédiatement lorsqu’il sortait du mode veille.

    Description : le rendu de l’écran verrouillé présentait un problème. Ce problème a été résolu par un meilleur rendu des écrans lors du verrouillage.

    Référence CVE

    CVE-2014-8827 : Xavier Bertels de Mono et plusieurs testeurs d’OS X

  • lukemftp

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : l’utilisation de l’outil ftp de ligne de commande pour récupérer des fichiers à partir d’un serveur http malveillant pouvait entraîner l’exécution de code arbitraire.

    Description : la gestion des redirections HTTP présentait un problème d’injection de commande. Ce problème a été résolu par une meilleure validation des caractères spéciaux.

    Référence CVE

    CVE-2014-8517

  • ntpd

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : l’utilisation du démon ntp avec l’authentification cryptographique activée pouvait entraîner des fuites d’informations.

    Description : ntpd présentait plusieurs problèmes de validation des entrées. Ces problèmes ont été résolus par une meilleure validation des données.

    Référence CVE

    CVE-2014-9297

  • OpenSSL

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : OpenSSL 0.9.8za présentait plusieurs vulnérabilités, dont une pouvait permettre à un attaquant de rétrograder des connexions pour utiliser des suites de chiffrement plus faibles dans des applications utilisant la bibliothèque.

    Description : OpenSSL 0.9.8za présentait plusieurs vulnérabilités. Ces problèmes ont été résolus par la mise à jour d’OpenSSL vers la version 0.9.8zc.

    Références CVE

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandbox

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Conséquence : un processus en sandbox pouvait être en mesure de contourner les restrictions de la sandbox.

    Description : la mise en cache des profils de sandbox présentait un problème de conception permettant aux applications en sandbox d’obtenir un accès en écriture au cache. Ce problème a été résolu en limitant l’accès en écriture aux chemins contenant un segment « com.apple.sandbox ». Ce problème ne concerne pas OS X Yosemite 10.10 ou version ultérieure.

    Référence CVE

    CVE-2014-8828 : Apple

  • SceneKit

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Conséquence : une application malveillante pouvait exécuter du code arbitraire entraînant la compromission d’informations utilisateur.

    Description : SceneKit présentait plusieurs problèmes d’écriture hors limites. Ils ont été résolus par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-8829 : Jose Duart de l’équipe de sécurité de Google

  • SceneKit

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : l’affichage d’un fichier Collada malveillant pouvait entraîner la fermeture inopinée d’une application ou l’exécution de code arbitraire.

    Description : la gestion des fichiers Collada par SceneKit présentait un problème de dépassement de la mémoire tampon du tas. L’affichage d’un fichier Collada malveillant pouvait entraîner la fermeture inopinée d’une application ou l’exécution de code arbitraire. Ce problème a été résolu par une meilleure validation des éléments associés à l’accesseur.

    Référence CVE

    CVE-2014-8830 : Jose Duart de l’équipe de sécurité de Google

  • Security

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application téléchargée signée avec un certificat d’identification de développeur révoqué pouvait contourner les vérifications de Gatekeeper.

    Description : l’évaluation des informations de certification d’application mises en cache présentait un problème. Ce problème a été résolu par une meilleure logique de cache.

    Référence CVE

    CVE-2014-8838 : Apple

  • security_taskgate

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : une app pouvait accéder aux éléments du trousseau appartenant à d’autres apps.

    Description : le trousseau présentait un problème de contrôle d’accès. Les applications signées avec des certificats d’identification de développeurs ou auto-signés pouvaient accéder aux éléments du trousseau dont les listes de contrôle d’accès étaient basées sur des groupes de trousseau. Ce problème a été résolu par la validation de l’identité de signature lors de l’octroi d’un accès aux groupes de trousseau.

    Référence CVE

    CVE-2014-8831 : Apple

  • Spotlight

    Disponible pour : OS X Yosemite 10.10 et 10.10.1

    Conséquence : l’expéditeur d’un e-mail pouvait déterminer l’adresse IP du destinataire.

    Description : Spotlight ne vérifiait pas l’état du réglage « Charger le contenu distant des messages » de Mail. Ce problème a été résolu par une meilleure vérification de la configuration.

    Référence CVE

    CVE-2014-8839 : John Whitehead du New York Times, Frode Moe de LastFriday.no

  • Spotlight

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : Spotlight pouvait enregistrer des informations inattendues sur un disque dur externe.

    Description : Spotlight présentait un problème permettant au contenu de la mémoire d’être écrit sur des disques durs externes lors de l’indexation. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2014-8832 : F-Secure

  • SpotlightIndex

    Disponible pour : OS X Yosemite 10.10 et 10.10.1

    Conséquence : Spotlight pouvait afficher des résultats pour des fichiers n’appartenant pas à l’utilisateur.

    Description : la gestion des caches d’autorisations par Spotlight présentait un problème de désérialisation. Un utilisateur effectuant une requête Spotlight pouvait voir s’afficher des résultats de recherche pour des fichiers qu’il ne pouvait pas lire, car il ne disposait pas de privilèges suffisants. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-8833 : David J Peacock, consultant indépendant en technologies

  • sysmond

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10 et 10.10.1

    Conséquence : une application malveillante pouvait être en mesure d’exécuter du code arbitraire avec des privilèges root.

    Description : sysmond présentait un problème de confusion de types permettant à une application locale d’augmenter les privilèges. Ce problème a été résolu par une meilleure vérification des types.

    Référence CVE

    CVE-2014-8835 : Ian Beer de Google Project Zero

  • UserAccountUpdater

    Disponible pour : OS X Yosemite 10.10 et 10.10.1

    Conséquence : les fichiers de préférences liés à l’impression pouvaient contenir des informations sensibles concernant des documents PDF.

    Description : OS X Yosemite 10.10 a résolu un problème au niveau de la gestion des fichiers PDF protégés par un mot de passe créés à partir de la boîte de dialogue d’impression à cause duquel des mots de passe pouvaient être inclus dans les fichiers de préférences liés à l’impression. Cette mise à jour supprime les informations superflues qui pouvaient être présentes dans les fichiers de préférences liés à l’impression.

    Référence CVE

    CVE-2014-8834 : Apple

Remarque : OS X Yosemite 10.10.2 inclut les correctifs de sécurité de Safari 8.0.3.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: