À propos des correctifs de sécurité d’OS X Mavericks 10.9.2 et de la mise à jour de sécurité 2014-001

Ce document décrit les correctifs de sécurité d’OS X Mavericks 10.9.2 et la mise à jour de sécurité 2014-001.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

La mise à jour liée peut être téléchargée et installée via Mise à jour logicielle ou à partir de la page Téléchargements du site d’assistance Apple.

OS X Mavericks 10.9.2 et mise à jour de sécurité 2014-001

  • Apache

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : Apache présente plusieurs vulnérabilités.

    Description : plusieurs vulnérabilités existaient dans Apache, la plus importante pouvant provoquer un scriptage intersite. Ces problèmes ont été résolus par la mise à jour d’Apache vers la version 2.2.26.

    Référence CVE

    CVE-2013-1862

    CVE-2013-1896

  • Applications sandboxées

    Disponible pour : OS X Mountain Lion 10.8.5.

    Conséquence : le sandboxing d’applications peut être évité.

    Description : l’interface LaunchServices, permettant de lancer une application, autorisait les applications sandboxées à déterminer la liste d’arguments à transmettre au nouveau processus. Une application sandboxée compromise pouvait tirer profit de cette situation pour contourner le processus de sandboxing. Ce problème a été résolu en empêchant les applications sandboxées de définir des arguments. Ce problème n’affecte pas les systèmes exécutant OS X Mavericks 10.9 ou version ultérieure.

    Référence CVE

    CVE-2013-5179 : Friedrich Graeter de The Soulmen GbR.

  • ATS

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : l’affichage ou le téléchargement d’un document contenant une police malveillant peut entraîner l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau de la gestion des polices de type 1. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-1254 : Felix Groebert de l’équipe de sécurité de Google.

  • ATS

    Disponible pour : OS X Mavericks 10.9 et 10.9.1.

    Conséquence : le sandboxing d’applications peut être évité.

    Description : un problème de corruption de la mémoire existait au niveau de la gestion des messages Mach transmis à ATS. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-1262 : Meder Kydyraliev de l’équipe de sécurité de Google.

  • ATS

    Disponible pour : OS X Mavericks 10.9 et 10.9.1.

    Conséquence : le sandboxing d’applications peut être évité.

    Description : un problème arbitraire existait au niveau de la gestion des messages Mach transmis à ATS. Ce problème a été résolu par une validation supplémentaire des messages Mach.

    Référence CVE

    CVE-2014-1255 : Meder Kydyraliev de l’équipe de sécurité de Google.

  • ATS

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : le sandboxing d’applications peut être évité.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des messages Mach transmis à ATS. Ce problème a été résolu par une vérification supplémentaire des limites.

    Référence CVE

    CVE-2014-1256 : Meder Kydyraliev de l’équipe de sécurité de Google.

  • Politique de fiabilité des certificats

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : des certificats racines ont été mis à jour.

    Description : l’ensemble des certificats racine système a été mis à jour. L’application Trousseau d’accès permet de consulter la liste complète des certificats racine système reconnus.

  • Cookies CFNetwork

    Disponible pour : OS X Mountain Lion 10.8.5.

    Conséquence : les cookies de session peuvent ne pas être supprimés après la réinitialisation de Safari.

    Description : la réinitialisation de Safari ne permettait pas toujours de supprimer les cookies de session tant que le navigateur n’était pas fermé. Ce problème a été résolu par une meilleure gestion des cookies de session. Ce problème n’affecte pas les systèmes exécutant OS X Mavericks 10.9 ou version ultérieure.

    Référence CVE

    CVE-2014-1257 : Rob Ansaldo du Amherst College, Graham Bennett.

  • CoreAnimation

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : la consultation d’un site malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des images par CoreAnimation. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-1258 : Karl Smith de NCC Group.

  • CoreText

    Disponible pour : OS X Mavericks 10.9 et 10.9.1.

    Conséquence : les applications utilisant CoreText peuvent être exposées à une fermeture inopinée ou à l’exécution arbitraire de code.

    Description : un problème de signature existait dans CoreText, au niveau de la gestion des polices Unicode. Ce problème est résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-1261 : Lucas Apa et Carlos Mario Penagos d’IOActive Labs.

  • cURL

    Disponible pour : OS X Mavericks 10.9 et 10.9.1.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter les identifiants de l’utilisateur ou d’autres données sensibles.

    Description : lors de l’utilisation de curl pour se connecter à une URL HTTPS incluant une adresse IP, cette dernière n’était pas validée à l’aide du certificat. Ce problème n’affecte pas les systèmes antérieurs à OS X Mavericks 10.9.

    Référence CVE

    CVE-2014-1263 : Roland Moriz de Moriz GmbH.

  • Sécurité des données

    Disponible pour : OS X Mavericks 10.9 et 10.9.1.

    Conséquence : un attaquant disposant d’une position privilégiée sur le réseau peut capturer ou modifier des données dans les sessions protégées par les protocoles SSL et TLS.

    Description : Secure Transport ne parvenait pas à valider l’authenticité de la connexion. Ce problème a été résolu par la restauration des étapes de validation manquantes.

    Référence CVE

    CVE-2014-1266

  • Date et heure

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : un utilisateur ne disposant pas des privilèges appropriés peut modifier l’horloge système.

    Description : le fonctionnement de la commande suivante est différent : 

    systemsetup
    Ainsi, des privilèges administrateur sont toujours requis pour modifier l’horloge système.

    Référence CVE

    CVE-2014-1265

  • Nom de fichier

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : l’affichage d’un fichier au nom douteux peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des noms de fichier. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-1259

  • Finder

    Disponible pour : OS X Mavericks 10.9 et 10.9.1.

    Conséquence : le fait d’accéder à la liste de contrôle d’accès d’un fichier via le Finder peut permettre à d’autres utilisateurs d’accéder à des fichiers de manière non autorisée.

    Description : l’accès à la liste de contrôle d’accès d’un fichier via le Finder pouvait endommager celle-ci. Ce problème a été résolu par une gestion améliorée des listes de contrôle d’accès.

    Référence CVE

    CVE-2014-1264

  • ImageIO

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : la lecture d’un fichier JPEG malveillant peut entraîner la divulgation du contenu de la mémoire.

    Description : un problème d’accès à la mémoire non initialisée existait au niveau de la gestion, par libjpeg, des marqueurs JPEG, ce qui entraînait alors la divulgation du contenu de la mémoire. Ce problème a été résolu par une meilleure gestion des fichiers JPEG.

    Référence CVE

    CVE-2013-6629 : Michal Zalewski.

  • IOSerialFamily

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5.

    Conséquence : l’exécution d’une application malveillante peut entraîner une exécution arbitraire de code au niveau du noyau.

    Description : l’accès à un tableau hors limites se produisait avec le gestionnaire IOSerialFamily. Ce problème a été résolu par une vérification supplémentaire des limites. Ce problème n’affecte pas les systèmes exécutant OS X Mavericks 10.9 ou version ultérieure.

    Référence CVE

    CVE-2013-5139 : @dent1zt.

  • LaunchServices

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5.

    Conséquence : un fichier peut comporter une extension incorrecte.

    Description : un problème existait au niveau de la gestion de certains caractères Unicode, ce qui pouvait entraîner l’affichage d’extensions incorrectes dans certains noms de fichier. Ce problème a été résolu en empêchant l’affichage de caractères Unicode non sécurisés dans les noms de fichiers. Ce problème n’affecte pas les systèmes exécutant OS X Mavericks 10.9 ou version ultérieure.

    Référence CVE

    CVE-2013-5178 : Jesse Ruderman de Mozilla Corporation, Stephane Sudre d’Intego.

  • Gestionnaires NVIDIA

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : l’exécution d’une application malveillante peut entraîner une exécution arbitraire de code au niveau de la carte graphique.

    Description : un problème permettait de modifier les données de mémoire fiables. Ce problème a été résolu en empêchant l’hôte de procéder à une écriture sur cette mémoire.

    Référence CVE

    CVE-2013-5986 : Marcin Kościelnicki dans le cadre du projet Nouveau de la X.Org Foundation.

    CVE-2013-5987 : Marcin Kościelnicki dans le cadre du projet Nouveau de la X.Org Foundation.

  • PHP

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : PHP présente plusieurs vulnérabilités.

    Description : PHP présentait plusieurs vulnérabilités, la plus grave étant susceptible d’entraîner une exécution arbitraire de code. Ces problèmes ont été résolus par la mise à jour de PHP vers la version 5.4.24 sous OS X Mavericks 10.9, et la version 5.3.28 sous OS X Lion et Mountain Lion.

    Référence CVE

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • QuickLook

    Disponible pour : OS X Mountain Lion 10.8.5.

    Conséquence : le téléchargement d’un fichier Microsoft Office malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau de la gestion, par QuickLook, des fichiers Microsoft Office. Conséquence : le téléchargement d’un fichier Microsoft Office malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Ce problème n’affecte pas les systèmes exécutant OS X Mavericks 10.9 ou version ultérieure.

    Référence CVE

    CVE-2014-1260 : Felix Groebert de l’équipe de sécurité de Google.

  • QuickLook

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : le téléchargement d’un fichier Microsoft Office malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : il existait un problème au niveau de la gestion des fichiers Microsoft Word par QuickLooks. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2014-1252 : Felix Groebert de l’équipe de sécurité de Google.

  • QuickTime

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des atomes « ftab ». Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-1246 : chercheur anonyme en collaboration avec le programme Zero Day Initiative de HP.

  • QuickTime

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau de la gestion des atomes « dref ». Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-1247 : Tom Gallagher et Paul Bates en collaboration avec le programme Zero Day Initiative d’HP.

  • QuickTime

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des atomes « ldat ». Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-1248 : Jason Kratzer en collaboration avec iDefense VCP.

  • QuickTime

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : l’affichage d’une image PSD construite de manière malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des images PSD. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-1249 : dragonltx de l’équipe de sécurité de Tencent.

  • QuickTime

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème d’inversion d’octets hors limites existait au niveau de la gestion des éléments « ttfo ». Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-1250 : Jason Kratzer en collaboration avec iDefense VCP.

  • QuickTime

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de signature existait au niveau de la gestion des atomes « stsz ». Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-1245 : Tom Gallagher et Paul Bates en collaboration avec le programme Zero Day Initiative d’HP.

  • Secure Transport

    Disponible pour : OS X Mountain Lion 10.8.5.

    Conséquence : un attaquant peut être en mesure de déchiffrer des données protégées par le protocole SSL.

    Description : la confidentialité des protocoles SSL 3.0 et TLS 1.0 était sujette à des attaques lorsqu’une suite de chiffrement utilisait un chiffrement de bloc en mode CBC. Pour remédier à ces problèmes avec les applications utilisant Secure Transport, la reproduction de fragments à un octet a été activée par défaut pour cette configuration.

    Référence CVE

    CVE-2011-3389 : Juliano Rizzo et Thai Duong.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: