À propos des correctifs de sécurité de Mac OS X 10.6.6
Ce document décrit les correctifs de sécurité de Mac OS X 10.6.6, qui peut être téléchargé et installé à partir des préférences Mise à jour de logiciels ou de la page Téléchargements Apple.
Ce document décrit les correctifs de sécurité de Mac OS X 10.6.6, qui peut être téléchargé et installé à partir des préférences Mise à jour de logiciels ou de la page Téléchargements Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».
Mac OS X 10.6.6
PackageKit
Référence CVE : CVE-2010-4013
Disponible pour : Mac OS X 10.6 à 10.6.5, Mac OS X Server 10.6 à 10.6.5
Conséquence : l’auteur d’une attaque de l’homme du milieu peut provoquer une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de chaîne de format existe dans la gestion des scripts de distribution par PackageKit. L’auteur d’une attaque de l’homme du milieu peut provoquer une fermeture inopinée de l’application ou l’exécution arbitraire de code lors de la vérification de la disponibilité de nouvelles mises à jour par Mise à jour de logiciels. Ce problème a été résolu par une meilleure validation des scripts de distribution. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.6. Merci à Aaron Sigel de vtty.com d’avoir signalé ce problème.