À propos de Security Update 2006-003

Ce document décrit Security Update 2006-003, qui peut être téléchargé et installé via les préférences Mise à jour de logiciels ou de téléchargements Apple.

Dans un souci de protection de nos clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles. Pour en savoir plus sur la sécurité des produits Apple, consultez le site web Sécurité produit d’Apple.

Pour obtenir plus d’informations concernant la clé PGP de la sécurité des produits Apple, consultez l’article « Utilisation de la clé PGP de sécurité produit d’Apple ».

Les ID CVE sont utilisés dans la mesure du possible pour répertorier les vulnérabilités afin de fournir plus d’informations.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Security Update 2006-003

  • AppKit

    Référence CVE : CVE-2006-1439

    Disponible pour : Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : des caractères saisis dans un champ de texte sécurisé peuvent être lus par d’autres applications dans la même session de fenêtre

    Description : dans certains cas, lorsque vous basculez entre des champs de saisie de texte, il se peut que la réactivation de la saisie d’événements sécurisée par NSSecureTextField échoue. Cela peut permettre à d’autres applications dans la même session de fenêtre de voir certains caractères saisis et événements clavier. Cette mise à jour résout ce problème en s’assurant que la saisie d’événements sécurisée est bien activée. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X v10.4.

  • AppKit, ImageIO

    Références CVE : CVE-2006-1982, CVE-2006-1983, CVE-2006-1984

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : l’affichage d’une image GIF ou TIFF construite de manière malveillante peut conduire à l’exécution de code quelconque

    Description : la gestion d’une image GIF ou TIFF défectueuse peut conduire à l’exécution de code quelconque lors de l’analyse d’une image construite de manière malveillante. Ce problème concerne les applications qui utilisent la structure ImageIO (Mac OS X v10.4 Tiger) ou AppKit (Mac OS X v10.3 Panther) pour lire des images. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images GIF et TIFF.

  • BOM

    Référence CVE : CVE-2006-1985

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : la décompression d’une archive peut conduire à l’exécution de code quelconque

    Description : en construisant soigneusement une archive (par exemple une archive Zip) contenant des noms de chemin longs, un attaquant peut déclencher un dépassement de mémoire tampon dans BOM. Cela peut conduire à l’exécution de code quelconque. BOM est utilisé pour gérer les archives dans Finder et d’autres applications. Cette mise à jour résout le problème en gérant correctement les conditions aux limites.

  • BOM

    Référence CVE : CVE-2006-1440

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : la décompression d’une archive malveillante peut conduire à la création ou l’écrasement de fichiers quelconques

    Description : un problème de gestion des liens symboliques de parcours de répertoire rencontré dans les archives peut conduire BOM à créer ou à écraser des fichiers dans des emplacements quelconques accessibles par l’utilisateur qui décompresse l’archive. BOM gère les archives pour Finder et d’autres applications. Cette mise à jour résout le problème en s’assurant que les fichiers décompressés depuis une archive ne sont pas placés hors du répertoire de destination.

  • CFNetwork

    Référence CVE : CVE-2006-1441

    Disponible pour : Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : la consultation de sites web malveillants peut conduire à l’exécution de code quelconque

    Description : un dépassement d’entier lors de la gestion de l’encodage de transfert par morceaux pourrait conduire à l’exécution de code quelconque. CFNetwork est utilisé par Safari et d’autres applications. Cette mise à jour résout le problème en réalisant des validations supplémentaires. Ce problème ne concerne pas les versions de Mac OS X antérieures à 10.4.

  • ClamAV

    Références CVE : CVE-2006-1614, CVE-2006-1615, CVE-2006-1630

    Disponible pour : Mac OS X Server v10.4.6

    Conséquences : le traitement de messages électroniques construits de manière malveillante avec ClamAV peut conduire à l’exécution de code quelconque

    Description : le logiciel de protection antivirus ClamAV a été mis à jour pour intégrer des correctifs de sécurité dans la dernière version. ClamAV a été intégré à Mac OS X Server v10.4 pour analyser le courrier électronique. Le plus grave de ces problèmes pourrait conduire à l’exécution de code quelconque avec les privilèges de ClamAV. Pour en savoir plus, consultez le site web du projet : http://www.clamav.net.

  • CoreFoundation

    Référence CVE : CVE-2006-1442

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : l’enregistrement d’un paquet non fiable peut conduire à l’exécution de code quelconque

    Description : dans certains cas, des paquets sont implicitement enregistrés par des applications ou le système. Une fonctionnalité de l’API du paquet permet le chargement et l’exécution de bibliothèques dynamiques lorsqu’un paquet est enregistré, même si l’application cliente ne le demande pas explicitement. En conséquence, un code quelconque peut être exécuté depuis un paquet non fiable sans interaction explicite de la part de l’utilisateur. Cette mise à jour résout le problème en ne chargeant et n’exécutant les bibliothèques du paquet qu’au moment opportun.

  • CoreFoundation

    Référence CVE : CVE-2006-1443

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : les conversions de chaînes en représentations du système de fichiers peuvent conduire à l’exécution de code quelconque

    Description : un dépassement inférieur d’entier pendant le traitement d’une condition aux limites dans CFStringGetFileSystemRepresentation peut conduire à l’exécution de code quelconque. Les applications qui utilisent cette API ou l’une des API associées, telles que getFileSystemRepresentation:maxLength:withPath: de NSFileManager, peuvent déclencher le problème et conduire à l’exécution de code quelconque. Cette mise à jour résout le problème en gérant correctement les conditions aux limites.

  • CoreGraphics

    Référence CVE : CVE-2006-1444

    Disponible pour : Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : des caractères saisis dans un champ de texte sécurisé peuvent être lus par d’autres applications dans la même session de fenêtre

    Description : Quartz Event Services fournit aux applications la possibilité d’observer et d’altérer des événements de saisie utilisateur de bas niveau. En temps normal, ces applications ne peuvent pas intercepter des événements lorsque la saisie d’événements sécurisée est activée. Cependant, si l’option « Activer l’accès pour les périphériques d’aide » est activée, Quartz Event Services peut être utilisé pour intercepter des événements même lorsque la saisie d’événements sécurisée est activée. Cette mise à jour résout ce problème en filtrant les événements lorsque la saisie d’événements sécurisée est activée. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Damien Bobillot pour avoir signalé ce problème.

  • Finder

    Référence CVE : CVE-2006-1448

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : le lancement d’un fichier d’adresse Internet peut conduire à l’exécution de code quelconque

    Description : les éléments d’adresse Internet sont de simples conteneurs d’URL qui peuvent référencer des URL de type http://, ftp:// et file://, ainsi que quelques autres schémas d’URL. Ces différents types d’éléments d’adresse Internet sont visuellement distincts et sont destinés à être lancés de manière explicite sans danger. Cependant, le schéma de l’URL peut être différent du type d’adresse Internet. En conséquence, un attaquant peut convaincre un utilisateur de lancer un élément qui semble bénin (tel qu’une adresse Internet http://), mais qu’un autre schéma d’URL soit en fait utilisé. Dans certains cas, cela peut conduire à l’exécution de code quelconque. Cette mise à jour résout ces problèmes en restreignant le schéma d’URL au type d’adresse Internet.

  • FTPServer

    Référence CVE : CVE-2006-1445

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : des opérations FTP réalisées par des utilisateurs FTP authentifiés peuvent conduire à l’exécution de code quelconque

    Description : de multiples problèmes dans la gestion du nom de chemin d’un serveur FTP peut conduire à un dépassement de mémoire tampon. Un utilisateur malveillant authentifié peut déclencher ce dépassement qui peut conduire à l’exécution de code quelconque avec les privilèges du serveur FTP. Cette mise à jour résout le problème en gérant correctement les conditions aux limites.

  • Flash Player

    Références CVE : CVE-2005-2628, CVE-2006-0024

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : la lecture d’un contenu Flash peut conduire à l’exécution de code quelconque

    Description : Adobe Flash Player contient des vulnérabilités critiques qui peuvent conduire à l’exécution de code quelconque lors du chargement de fichiers construits à cet effet. Plus d’informations sont disponibles sur le site Adobe à l’adresse suivante : http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. Cette mise à jour résout le problème en incorporant Flash Player version 8.0.24.0.

  • ImageIO

    Référence CVE : CVE-2006-1552

    Disponible pour : Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : l’affichage d’une image JPEG construite de manière malveillante peut conduire à l’exécution de code quelconque

    Description : un dépassement d’entier lors du traitement de métadonnées JPEG peut conduire à un dépassement de mémoire tampon. En construisant soigneusement une image avec des métadonnées JPEG défectueuses, un attaquant peut provoquer l’exécution de code quelconque lors de la visualisation de l’image. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images  Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Brent Simmons de NewsGator Technologies, Inc. pour avoir signalé ce problème.

  • Trousseau

    Référence CVE : CVE-2006-1446

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : il est possible qu’une application puisse utiliser des éléments de Trousseau lorsque celui-ci est verrouillé

    Description : lorsqu’un trousseau est verrouillé, les applications ne peuvent pas accéder à ses éléments sans demander d’abord le déverrouillage du trousseau. Cependant, une application qui a obtenu une référence à un élément de trousseau avant que le trousseau ne soit verrouillé peut, dans certains cas, continuer d’utiliser cet élément de trousseau indépendamment du fait que le trousseau soit verrouillé ou non. Cette mise à jour résout le problème en refusant les demandes d’utilisation d’éléments de trousseau lorsque celui-ci est verrouillé. Nous remercions Tobias Hahn de HU Berlin pour avoir signalé ce problème.

  • LaunchServices

    Référence CVE : CVE-2006-1447

    Disponible pour : Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : l’affichage d’un site web construit de manière malveillante peut conduire à l’exécution de code quelconque

    Description : de longues extensions de noms de fichiers peuvent empêcher la validation du téléchargement de déterminer correctement l’application avec laquelle un élément peut être ouvert. En conséquence, un attaquant peut contourner la validation du téléchargement et provoquer l’ouverture automatique par Safari d’un contenu non sécurisé si l’option « Ouvrir les fichiers « fiables » automatiquement » est activée et que certaines applications ne sont pas installées. Cette mise à jour résout le problème par l’amélioration des contrôles de l’extension des noms de fichiers. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X v10.4.

  • libcurl

    Référence CVE : CVE-2005-4077

    Disponible pour : Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : la gestion des URL dans libcurl peut conduire à l’exécution de code quelconque

    Description : la bibliothèque HTTP à code source ouvert libcurl contient des dépassements de mémoire tampon dans la gestion des URL. Les applications utilisant curl pour la gestion des URL peuvent déclencher le problème et conduire à l’exécution de code quelconque. Cette mise à jour résout le problème en incorporant libcurl version 7.15.1. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4.

  • Mail

    Référence CVE : CVE-2006-1449

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : l’affichage d’un message électronique construit de manière malveillante peut conduire à l’exécution de code quelconque

    Description : en préparant de manière malveillante un message électronique avec des pièces jointes encapsulées au format MacMIME, un attaquant peut déclencher un dépassement d’entier. Cela peut conduire à l’exécution de code quelconque avec les privilèges de l’utilisateur exécutant Mail. Cette version résout le problème en réalisant des validations supplémentaires sur les messages.

  • Mail

    Référence CVE : CVE-2006-1450

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : l’affichage d’un message électronique construit de manière malveillante peut conduire à l’exécution de code quelconque

    Description : la gestion d’informations de couleur invalides dans des messages électroniques au format texte enrichi pourrait provoquer l’allocation et l’initialisation de classes quelconques. Cela peut conduire à l’exécution de code quelconque avec les privilèges de l’utilisateur exécutant Mail. Cette mise à jour résout le problème en gérant correctement les données défectueuses au format texte enrichi.

  • Gestionnaire MySQL

    Référence CVE : CVE-2006-1451

    Disponible pour : Mac OS X Server v10.4.6

    Conséquences : il est possible d’accéder à la base de données MySQL avec un mot de passe vide

    Description : pendant la configuration initiale de la base de données MySQL à l’aide de Gestionnaire MySQL, le « nouveau mot de passe root de MySQL » peut être fourni. Cependant, ce mot de passe n’est pas vraiment utilisé. En conséquence, le mot de passe root de MySQL restera vide. Un utilisateur local peut alors obtenir l’accès à la base de données MySQL avec tous les privilèges. Cette mise à jour résout ce problème en s’assurant que le mot de passe saisi est enregistré. Ce risque est absent dans les systèmes antérieurs à Mac OS X Server v10.4. Nous remercions Ben Low de l’université de New South Wales pour avoir signalé ce problème.

  • Aperçu

    Référence CVE : CVE-2006-1452

    Disponible pour : Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : la navigation dans une hiérarchie de répertoires construite de manière malveillante peut conduire à l’exécution de code quelconque

    Description : il est possible qu’un dépassement de mémoire tampon dans la pile soit déclenché lorsque vous parcourez des hiérarchies de répertoires très profondes dans Aperçu. En construisant soigneusement une telle hiérarchie de répertoires, il est possible pour un attaquant de provoquer l’exécution de code quelconque si les répertoires sont ouverts dans Aperçu. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X v10.4.

  • QuickDraw

    Références CVE : CVE-2006-1453, CVE-2006-1454

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : l’affichage d’une image PICT construite de manière malveillante peut conduire à l’exécution de code quelconque

    Description : deux problèmes gênent QuickDraw lors du traitement d’images PICT. Des informations sur les polices défectueuses peuvent provoquer un dépassement de mémoire tampon dans la pile et des données d’image défectueuses peuvent provoquer un dépassement de mémoire tampon. En construisant soigneusement une image PICT malveillante, un attaquant peut conduire à l’exécution de code quelconque lors de la visualisation de l’image. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images PICT. Nous remercions Mike Price de McAfee AVERT Labs pour avoir signalé ce problème.

  • QuickTime Streaming Server

    Référence CVE : CVE-2006-1455

    Disponible pour : Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Conséquences : une séquence QuickTime défectueuse peut provoquer le blocage du Serveur d’enchaînement QuickTime

    Description : une séquence QuickTime à laquelle il manque une piste peut provoquer le déréférencement d’un pointeur NULL, provoquant le blocage du processus du serveur. Cette erreur provoque l’interruption des connexions client actives. Cependant, le serveur redémarre automatiquement. Cette mise à jour résout le problème en produisant une erreur lorsque des séquences défectueuses sont rencontrées.

  • QuickTime Streaming Server

    Référence CVE : CVE-2006-1456

    Disponible pour : Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Conséquences : des demandes RTSP construites de manière malveillante peuvent conduire à des blocages ou à l’exécution de code quelconque

    Description : en construisant soigneusement une demande RTSP, un attaquant peut déclencher un dépassement de mémoire tampon pendant la consignation du message. Cela peut conduire à l’exécution de code quelconque avec les privilèges du Serveur d’enchaînement QuickTime. Cette mise à jour résout le problème en gérant correctement les conditions aux limites. Nous remercions l’équipe de recherche de Mu Security pour avoir signalé ce problème.

  • Ruby

    Référence CVE : CVE-2005-2337

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : les restrictions des niveaux de sécurité de Ruby peuvent être contournées

    Description : le langage de script de Ruby contient un mécanisme appelé « niveaux de sécurité » utilisé pour contrôler l’accès à certaines opérations. Ce mécanisme est fréquemment utilisé lors de l’exécution d’applications Ruby privilégiées ou d’applications réseau de Ruby. Dans certains cas, un attaquant peut contourner les restrictions dans de telles applications. Les applications qui ne dépendent pas des niveaux de sécurité ne sont pas concernées. Cette mise à jour résout le problème en s’assurant que les niveaux de sécurité ne peuvent pas être contournés.

  • Safari

    Référence CVE : CVE-2006-1457

    Disponible pour : Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Conséquences : la consultation de sites web malveillants peut conduire à la manipulation de fichiers ou à l’exécution de code quelconque

    Description : lorsque l’option « Ouvrir les fichiers “ fiables ” automatiquement » de Safari est activée, les archives sont automatiquement décompressées. Si l’archive contient un lien symbolique, il est possible de déplacer le lien symbolique cible sur le bureau de l’utilisateur et de le lancer. Cette mise à jour résout le problème en ne décomposant pas les liens symboliques téléchargés. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X v10.4.

Date de publication: