À propos des correctifs de sécurité d’OS X Yosemite 10.10.1
Consultez cet article pour en savoir plus sur les correctifs de sécurité d’OS X Yosemite 10.10.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
OS X Yosemite 10.10
802.1X
Conséquence : un attaquant peut être en mesure d’obtenir des identifiants de connexion Wi-Fi.
Description : un attaquant pouvait créer un point d’accès Wi-Fi factice, auquel il était possible de s’authentifier à l’aide du protocole LEAP. Il pouvait également compromettre le hachage MS-CHAPv1 et utiliser les identifiants ainsi obtenus pour permettre une authentification au niveau du point d’accès concerné, même si ce dernier prenait en charge des méthodes d’authentification plus sécurisées. Ce problème a été résolu par la désactivation par défaut du protocole LEAP.
Référence CVE
CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax et Wim Lamotte de l’université d’Hasselt.
Serveur de fichiers AFP
Conséquence : un attaquant distant peut être en mesure d’identifier toutes les adresses réseau du système.
Description : le serveur de fichiers AFP prenait en charge une commande qui permettait d’obtenir toutes les adresses réseau du système. Ce problème a été résolu par la suppression des adresses du résultat de la commande.
Référence CVE
CVE-2014-4426 : Craig Young de Tripwire VERT.
apache
Conséquence : Apache présente plusieurs vulnérabilités.
Description : plusieurs vulnérabilités existaient dans Apache, la plus importante pouvant provoquer un déni de service. Ces problèmes ont été résolus par la mise à jour d’Apache vers la version 2.4.9.
Référence CVE
CVE-2013-6438
CVE-2014-0098
Applications sandboxées
Conséquence : une application associée à des restrictions en matière de sandboxing peut permettre l’utilisation inappropriée de l’API d’accessibilité.
Description : une application sandboxée peut permettre l’utilisation inappropriée de l’API d’accessibilité, à l’insu de l’utilisateur. Ce problème a été résolu en demandant à l’administrateur d’approuver ou non l’utilisation de l’API d’accessibilité, et ce pour chaque application concernée.
Référence CVE
CVE-2014-4427 : Paul S. Ziegler de Reflare UG.
Bash
Conséquence : sur certaines configurations, un attaquant distant peut être en mesure d’exécuter des commandes Shell arbitraires.
Description : l’analyse Bash des variables environnementales présentait un problème. Ce problème a été résolu via l’amélioration de l’analyse des variables environnementales, à l’aide d’une meilleure détection de la fin des fonctions.
Cette mise à jour comprend également le correctif CVE-2014-7169, réinitialisant l’état de l’outil d’analyse.
En outre, un nouvel espace dédié aux fonctions d’exportation a été ajouté en créant un décorateur de fonction empêchant les en-têtes non désirés d’être traités par Bash. Les variables environnementales introduisant des définitions de fonction doivent être dotées du préfixe « __BASH_FUNC< » et du suffixe « >() » afin de bloquer les fonctions au niveau des en-têtes HTTP.
Référence CVE
CVE-2014-6271 : Stephane Chazelas.
CVE-2014-7169 : Tavis Ormandy.
Bluetooth
Conséquence : un périphérique d’entrée Bluetooth malveillant peut permettre d’ignorer le processus de jumelage.
Description : les connexions non chiffrées étaient rendues possibles par les périphériques Bluetooth HID à faible consommation d’énergie. Si un Mac était jumelé avec un tel périphérique, un attaquant pouvait utiliser le périphérique en question à des fins malveillantes pour établir une connexion. Ce problème a été résolu par le rejet des connexions HID non chiffrées.
Référence CVE
CVE-2014-4428 : Mike Ryan d’iSEC Partners.
CFPreferences
Conséquence : il est possible que le réglage « Exiger un mot de passe après la suspension d’activité ou le lancement de l’économiseur d’écran » ne soit pas effectif tant que le système n’a pas été redémarré.
Description : un problème de gestion de session existait au niveau de la prise en charge des réglages applicables aux préférences système. Ce problème a été résolu par un meilleur suivi des sessions.
Référence CVE
CVE-2014-4425
Politique de fiabilité des certificats
Conséquence : la politique de fiabilité des certificats est mise à jour.
Description : la politique de fiabilité des certificats était mise à jour. La liste complète des certificats peut être consultée à l’adresse http://support.apple.com/kb/HT6005?viewlocale=fr_FR.
CoreStorage
Conséquence : un volume chiffré peut rester déverrouillé après son éjection.
Description : lorsqu’un volume chiffré était éjecté, celui-ci était démonté. Cependant, les clés étaient conservées en mémoire, ce qui permettait de procéder au montage sans saisir le mot de passe. Ce problème a été résolu par l’effacement des clés lors de l’éjection.
Référence CVE
CVE-2014-4430 : Benjamin King de See Ben Click Computer Services LLC, Karsten Iwen, Dustin Li (http://dustin.li/), Ken J. Takekoshi et d’autres chercheurs anonymes.
CUPS
Conséquence : un utilisateur local peut entraîner l’exécution d’un code arbitraire à l’aide de privilèges système.
Description : lorsque l’interface Web CUPS permettait l’obtention de fichiers, les liens symboliques étaient utilisés. Un utilisateur local pouvait créer des liens symboliques, redirigeant vers des fichiers arbitraires, et récupérer ainsi ces derniers via l’interface Web. Ce problème a été résolu en empêchant l’utilisation de liens symboliques via l’interface Web CUPS.
Référence CVE
CVE-2014-3537
Dock
Conséquence : dans certaines situations, il est possible que des fenêtres soient visibles, même après le verrouillage de l’écran.
Description : un problème de gestion de mode existait au niveau de la gestion du système de verrouillage de l’écran. Ce problème a été résolu par un meilleur suivi de l’état.
Référence CVE
CVE-2014-4431 : Emil Sjölander de l’université d’Umeå.
fdesetup
Conséquence : la commande fdesetup peut indiquer un état de chiffrement incorrect au niveau du disque.
Description : après la mise à jour des réglages, mais avant le redémarrage, la commande fdesetup indiquait un état de chiffrement incorrect au niveau du disque. Ce problème a été résolu par un meilleur signalement de l’état.
Référence CVE
CVE-2014-4432
Fonctionnalité Localiser mon Mac d’iCloud
Conséquence : le code PIN applicable au mode Perdu d’iCloud peut faire l’objet d’une attaque par force brute.
Description : un problème de persistance d’état, lié aux limites de taux, rendait le code PIN applicable au mode Perdu d’iCloud vulnérable aux attaques par force brute. Ce problème a été résolu par une meilleure persistance de l’état au fil des redémarrages.
Référence CVE
CVE-2014-4435 : knoy.
IOAcceleratorFamily
Conséquence : une application peut entraîner un déni de service.
Description : un problème de déréférencement de pointeurs null existait au niveau du gestionnaire IntelAccelerator. Ce problème a été résolu par une meilleure gestion des erreurs.
Référence CVE
CVE-2014-4373 : cunzhang de l’Adlab de Venustech.
IOHIDFamily
Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.
Description : un problème de déréférencement de pointeurs null existait au niveau de la gestion, par IOHIDFamily, des propriétés de mappage par clé. Ce problème a été résolu par une meilleure validation des propriétés IOHIDFamily de mappage par clé.
Référence CVE
CVE-2014-4405 : Ian Beer de Google Project Zero.
IOHIDFamily
Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.
Description : un problème de dépassement de mémoire tampon existait au niveau de la gestion, par IOHIDFamily, des propriétés de mappage par clé. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-4404 : Ian Beer de Google Project Zero.
IOHIDFamily
Conséquence : une application peut entraîner un déni de service.
Description : un problème de lecture hors limites de la mémoire existait au niveau du gestionnaire IOHIDFamily. Ce problème a été résolu par une meilleure validation des entrées.
Référence CVE
CVE-2014-4436 : cunzhang de l’Adlab de Venustech.
IOHIDFamily
Conséquence : un utilisateur peut exécuter un code arbitraire avec des privilèges système.
Description : un problème d’écriture hors limites existait au niveau du gestionnaire IOHIDFamily. Ce problème a été résolu par une meilleure validation des entrées.
Référence CVE
CVE-2014-4380 : cunzhang de l’Adlab de Venustech.
IOKit
Conséquence : une application malveillante peut être en mesure de lire des données non initialisées au niveau de la mémoire du noyau.
Description : un problème d’accès à la mémoire non initialisée existait au niveau de la gestion des fonctions IOKit. Ce problème a été résolu par une meilleure initialisation de la mémoire.
Référence CVE
CVE-2014-4407 : @PanguTeam.
IOKit
Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.
Description : un problème de validation existait au niveau de la gestion de certains champs de métadonnées, associés à des objets IODataQueue. Ce problème a été résolu par une meilleure validation des métadonnées.
Référence CVE
CVE-2014-4388 : @PanguTeam.
IOKit
Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.
Description : un problème de validation existait au niveau de la gestion de certains champs de métadonnées, associés à des objets IODataQueue. Ce problème a été résolu par une meilleure validation des métadonnées.
Référence CVE
CVE-2014-4418 : Ian Beer de Google Project Zero.
Noyau
Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.
Description : de multiples problèmes liés à la mémoire non initialisée existaient au niveau de l’interface applicable aux statistiques réseau, ce qui entraînait la divulgation du contenu de la mémoire noyau. Ce problème a été résolu par une initialisation supplémentaire de la mémoire.
Référence CVE
CVE-2014-4371 : Fermin J. Serna de la Google Security Team.
CVE-2014-4419 : Fermin J. Serna de la Google Security Team.
CVE-2014-4420 : Fermin J. Serna de la Google Security Team.
CVE-2014-4421 : Fermin J. Serna de la Google Security Team.
Noyau
Conséquence : un système de fichiers conçu de manière malveillante peut entraîner l’arrêt inopiné du système ou l’exécution arbitraire de code.
Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des branches de ressources HFS. Un système de fichiers conçu de manière malveillante pouvait entraîner l’arrêt inopiné du système ou l’exécution arbitraire de code, grâce à des privilèges de niveau noyau. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-4433 : Maksymilian Arciemowicz.
Noyau
Conséquence : un système de fichiers conçu de manière malveillante peut entraîner l’arrêt inopiné du système.
Description : un problème de déréférencement de pointeurs null existait au niveau de la gestion des noms de fichier HFS. Un système de fichiers conçu de manière malveillante pouvait entraîner l’arrêt inopiné du système. Ce problème a été résolu par la suppression du déréférencement NULL.
Référence CVE
CVE-2014-4434 : Maksymilian Arciemowicz.
Noyau
Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou une exécution arbitraire de code au niveau du noyau.
Description : un problème double existait au niveau de la gestion des ports Mach. Ce problème a été résolu par une meilleure validation des ports Mach.
Référence CVE
CVE-2014-4375 : un chercheur anonyme.
Noyau
Conséquence : une personne profitant d’une position privilégiée sur le réseau peut entraîner un déni de service.
Description : un problème de concurrence existait au niveau de la gestion des paquets IPv6. Ce problème a été résolu par une meilleure vérification de l’état Verrouillé.
Référence CVE
CVE-2011-2391 : Marc Heuse.
Noyau
Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou une exécution arbitraire de code au niveau du noyau.
Description : un problème de lecture hors limites existait au niveau de rt_setgate, pouvant entraîner la divulgation du contenu de la mémoire, ou la corruption de cette dernière. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-4408
Noyau
Conséquence : un utilisateur local peut entraîner l’arrêt inopiné du système.
Description : une erreur grave existait au niveau de la gestion des messages envoyés aux sockets de contrôle système. Ce problème a été résolu par une validation supplémentaire des messages.
Référence CVE
CVE-2014-4442 : Darius Davis de VMware.
Noyau
Conséquence : certaines mesures de renforcement du noyau peuvent être ignorées.
Description : le générateur de nombre aléatoire utilisé lors de mesures de renforcement du noyau, au début du processus de démarrage, n’était pas sécurisé de manière cryptographique. Certains des résultats obtenus étaient consultables depuis l’espace utilisateur, ce qui permettait de contourner les mesures de renforcement. Ce problème a été résolu par l’utilisation d’un algorithme sécurisé de manière cryptographique.
Référence CVE
CVE-2014-4422 : Tarjei Mandt d’Azimuth Security.
LaunchServices
Conséquence : une application locale peut ignorer les restrictions applicables en matière de sandboxing.
Description : l’interface LaunchServices, utilisable pour configurer des pilotes de type de contenu, permettait aux applications sandboxées d’indiquer quels pilotes devaient être exploités. Une application douteuse pouvait tirer parti de ce problème afin d’ignorer les restrictions applicables en matière de sandboxing. Ce problème a été résolu en empêchant les applications d’indiquer quels pilotes de type de contenu doivent être exploités.
Référence CVE
CVE-2014-4437 : Meder Kydyraliev de la Google Security Team.
LoginWindow
Conséquence : l’écran ne se verrouille parfois pas.
Description : un problème de concurrence existait dans LoginWindow et pouvait parfois empêcher le verrouillage de l’écran. Ce problème a été résolu par la modification de l’ordre des opérations.
Référence CVE
CVE-2014-4438 : Harry Sintonen de nSense, Alessandro Lobina d’Helvetia Insurances, Patryk Szlagowski de Funky Monkey Labs.
Mail
Conséquence : l’application Mail peut envoyer des e-mails à des destinataires inattendus.
Description : un problème lié à l’interface utilisateur de Mail entraînait l’envoi d’e-mails à des adresses ayant été retirées de la liste des destinataires. Ce problème a été résolu par une meilleure vérification de l’interface utilisateur.
Référence CVE
CVE-2014-4439 : Patrick J Power de Melbourne, Australie.
Profils MCX Desktop Config
Conséquence : lorsque les profils de configuration mobile sont désinstallés, les réglages correspondants ne sont pas supprimés.
Description : les réglages de proxy Web, installés par un profil de configuration mobile, n’étaient pas supprimés lorsque le profil était désinstallé. Ce problème a été résolu par une meilleure prise en charge de la désinstallation des profils.
Référence CVE
CVE-2014-4440 : Kevin Koster de Cloudpath Networks.
Cadre NetFS Client
Conséquence : il peut être impossible de désactiver la fonctionnalité Partage de fichiers.
Description : un problème de gestion de l’état existait au niveau du cadre NetFS Client. Ce problème a été résolu par une meilleure gestion des états.
Référence CVE
CVE-2014-4441 : Eduardo Bonsi de BEARTCOMMUNICATIONS.
QuickTime
Conséquence : la lecture d’un fichier m4a malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de dépassement de la mémoire tampon existait au niveau des échantillons audio. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-4351 : Karl Smith de NCC Group.
Safari
Conséquence : l’historique des pages récemment consultées dans un onglet ouvert est susceptible d’être conservé après la suppression de l’historique.
Description : la suppression de l’historique Safari ne permettait pas d’effacer l’historique des pages précédentes/suivantes pour les onglets ouverts. Ce problème a été résolu par la suppression de l’historique précédent/suivant.
Référence CVE
CVE-2013-5150
Safari
Conséquence : le fait de s’abonner aux notifications Push depuis un site Web conçu de manière malveillante peut entraîner la non-réception des notifications Push Safari.
Description : un problème d’exception non détecté existait au niveau de la gestion, par SafariNotificationAgent, des notifications Push Safari. Ce problème a été résolu par une meilleure gestion des notifications Push Safari.
Référence CVE
CVE-2014-4417 : Marek Isalski de Faelix Limited.
Secure Transport
Conséquence : un attaquant peut être en mesure de déchiffrer des données protégées par le protocole SSL.
Description : la confidentialité du protocole SSL 3.0 est sujette à des attaques lorsqu’une suite de chiffrement utilise un chiffrement de bloc en mode d’enchaînement des blocs. Un attaquant pouvait forcer l’utilisation du protocole SSL 3.0, même lorsque le serveur prenait en charge une version plus adaptée du protocole TLS, et ce en bloquant les tentatives de connexion par le protocole TLS 1.0 et version ultérieure. Ce problème a été résolu par la désactivation des suites de chiffrement en mode d’enchaînement des blocs en cas d’échec d’une connexion TLS.
Référence CVE
CVE-2014-3566 : Bodo Moeller, Thai Duong et Krzysztof Kotowicz de la Google Security Team.
Sécurité
Conséquence : un attaquant distant peut être à l’origine d’un déni de service.
Description : un problème de déréférencement de pointeurs null existait au niveau de la gestion des données ASN.1. Ce problème a été résolu par une validation supplémentaire des données ASN.1.
Référence CVE
CVE-2014-4443 : Coverity.
Sécurité
Conséquence : un utilisateur local peut être en mesure d’accéder aux tickets Kerberos d’un autre utilisateur.
Description : un problème de gestion de l’état existait dans SecurityAgent. Lors de l’utilisation de la fonctionnalité Permutation rapide d’utilisateur, il était parfois possible qu’un ticket Kerberos correspondant au nouvel utilisateur soit placé dans le cache associé à l’ancien utilisateur. Ce problème a été résolu par une meilleure gestion des états.
Référence CVE
CVE-2014-4444 : Gary Simon de Sandia National Laboratories, Ragnar Sundblad du KTH Royal Institute of Technology, Eugene Homyakov de Kaspersky Lab.
Sécurité - Signature par code
Conséquence : les applications ayant fait l’objet de manipulations inappropriées peuvent tout de même s’exécuter.
Description : les applications signées sous OS X, avant la mise à disposition d’OS X Mavericks 10.9, ou les applications utilisant des règles de ressources personnalisées, pouvaient avoir fait l’objet de manipulations inappropriées sans que la signature soit considérée comme non-valide. Sur les systèmes configurés de sorte à n’autoriser que les applications provenant du Mac App Store et celles proposées par des développeurs identifiés, une application modifiée, puis téléchargée, pouvait tout de même s’exécuter. Ce problème a été résolu par la non-prise en compte des signatures de paquets, en cas d’enveloppes de ressources n’incluant pas les ressources pouvant avoir une incidence sur l’exécution de l’application. OS X Mavericks 10.9.5 et la mise à jour de sécurité 2014-004 pour OS X Mountain Lion 10.8.5 inclut déjà ces modifications.
Référence CVE
CVE-2014-4391 : Christopher Hickstein en collaboration avec le programme Zero Day Initiative d’HP.
Remarque : OS X Yosemite inclut Safari 8.0, qui lui-même comprend les correctifs de sécurité de Safari 7.1. Pour en savoir plus, consultez l’article À propos des correctifs de sécurité de Safari 7.1.
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.