À propos des correctifs de sécurité d’OS X Mountain Lion 10.8.4 et de la mise à jour de sécurité 2013-002

Ce document décrit les correctifs de sécurité d’OS X Mountain Lion 10.8.4 et la mise à jour de sécurité 2013-002, qui peut être téléchargée et installée à partir des préférences Mise à jour de logiciels ou de la page Téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

OS X Mountain Lion 10.8.4 et mise à jour de sécurité 2013-002

Remarque : OS X Mountain Lion 10.8.4 comprend les correctifs de sécurité de Safari 6.0.5. Pour obtenir des informations supplémentaires, consultez l’article À propos des correctifs de sécurité de Safari 6.0.5.

  • CFNetwork

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.3

    Conséquence : un attaquant qui a accès à la session d’un utilisateur peut être en mesure de se connecter aux sites que l’utilisateur a consultés précédemment, même si celui-ci utilisait la navigation privée.

    Description : les cookies permanents étaient enregistrés après la fermeture de Safari, même lorsque la navigation privée était activée. Ce problème a été résolu grâce à une meilleure gestion des cookies.

    Référence CVE

    CVE-2013-0982 : Alexander Traud de www.traud.de

  • CoreAnimation

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.3

    Conséquence : le fait de consulter un site malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

    Description : la gestion des glyphes de texte présentait un problème d’allocation illimitée de piles, qui pouvait être déclenché par des URL malveillantes dans Safari. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2013-0983 : David Fifield de l’université de Stanford, Ben Syverson

  • CoreMedia Playback

    Disponible pour : OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.3

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

    Description : la gestion des pistes de texte présentait un problème d’accès à la mémoire non initialisée. Le problème a été résolu grâce à une validation supplémentaire des pistes de texte.

    Référence CVE

    CVE-2013-1024 : Richard Kuo et Billy Suguitan de Triemt Corporation

  • CUPS

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.3

    Conséquence : un utilisateur local du groupe lpadmin peut être en mesure de lire ou d’écrire des fichiers arbitraires avec des privilèges système.

    Description : la gestion de la configuration CUPS via l’interface web CUPS présentait un problème d’élévation des privilèges. Un utilisateur local du groupe lpadmin peut être en mesure de lire ou d’écrire des fichiers arbitraires avec des privilèges système. Ce problème a été résolu en déplaçant certaines instructions de configuration vers cups-files.conf, qui ne peut pas être modifié à partir de l’interface web CUPS.

    Référence CVE

    CVE-2012-5519

  • Directory Service

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : un attaquant distant peut exécuter du code arbitraire avec des privilèges système sur les systèmes pour lesquels Directory Service est activé.

    Description : la gestion des messages réseau par le serveur d’annuaire présentait un problème. Un attaquant distant pouvait envoyer un message malveillant pour forcer le serveur d’annuaire à se fermer de manière inopinée ou à exécuter du code arbitraire avec des privilèges système. Ce problème a été résolu par une meilleure vérification des limites. Ce problème ne concerne pas OS X Lion ni OS X Mountain Lion.

    Référence CVE

    CVE-2013-0984 : Nicolas Economou de Core Security

  • Disk Management

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.3

    Conséquence : un utilisateur local peut désactiver FileVault.

    Description : un utilisateur local qui n’est pas administrateur peut désactiver FileVault à l’aide de la ligne de commande. Ce problème a été résolu par l’ajout d’une authentification.

    Référence CVE

    CVE-2013-0985

  • OpenSSL

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.3

    Conséquence : un attaquant peut être en mesure de déchiffrer des données protégées par SSL.

    Description : le niveau de confidentialité de TLS 1.0 était affaibli lorsque la compression était activée. Ce problème a été résolu en désactivant la compression dans OpenSSL.

    Référence CVE

    CVE-2012-4929 : Juliano Rizzo et Thai Duong

  • OpenSSL

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.3

    Conséquence : OpenSSL comportait plusieurs vulnérabilités.

    Description : la version 0.9.8x d’OpenSSL a été installée pour résoudre plusieurs vulnérabilités qui pouvaient entraîner une attaque par déni de service ou la divulgation d’une clé privée. Vous trouverez plus d’informations sur le site web d’OpenSSL à l’adresse http://www.openssl.org/news/

    Références CVE

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Disponible pour : OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.2

    Conséquence : l’ouverture d’une image PICT malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

    Description : la gestion des images PICT entraînait un dépassement de tampon. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2013-0975 : Tobias Klein en collaboration avec le programme Zero Day Initiative d’HP

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.3

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

    Description : la gestion des atomes 'enof' entraînait un dépassement de tampon. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2013-0986 : Tom Gallagher (Microsoft) et Paul Bates (Microsoft) en collaboration avec le programme Zero Day Initiative d’HP

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.3

    Conséquence : la lecture d’un fichier QTIF malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

    Description : la gestion des fichiers QTIF présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2013-0987 : roob en collaboration avec iDefense VCP

  • QuickTime

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.3

    Conséquence : la lecture d’un fichier FPX malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

    Description : la gestion des fichiers FPX entraînait un dépassement de tampon. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2013-0988 : G. Geshev en collaboration avec le programme Zero Day Initiative d’HP

  • QuickTime

    Disponible pour : OS X Mountain Lion 10.8 à 10.8.3

    Conséquence : la lecture d’un fichier MP3 malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion des fichiers MP3 entraînait un dépassement de tampon. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2013-0989 : G. Geshev en collaboration avec le programme Zero Day Initiative d’HP

  • Ruby

    Disponible pour : Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Conséquence : Ruby on Rails présentait plusieurs vulnérabilités.

    Description : Ruby on Rails présentait plusieurs vulnérabilités, dont la plus grave pouvait entraîner l’exécution de code arbitraire sur les systèmes qui exécutaient des applications Ruby on Rails. Ces problèmes ont été résolus par l’installation de la version 2.3.18 de Ruby on Rails. Ils pouvaient concerner les systèmes OS X Lion ou OS X Mountain Lion qui avaient été mis à jour à partir de Mac OS X 10.6.8 ou d’une version antérieure. Les utilisateurs peuvent mettre à jour les gemmes concernées sur ces systèmes à l’aide de l’utilitaire /usr/bin/gem.

    Références CVE

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Disponible pour : OS X Lion 10.7 à 10.7.5, OS X Lion Server 10.7 à 10.7.5, OS X Mountain Lion 10.8 à 10.8.3

    Conséquence : un utilisateur authentifié peut être en mesure d’écrire des fichiers en dehors de l’annuaire partagé.

    Description : si le partage de fichiers SMB est activé, un utilisateur authentifié peut être en mesure d’écrire des fichiers en dehors de l’annuaire partagé. Ce problème a été résolu par l’amélioration des contrôles d’accès.

    Référence CVE

    CVE-2013-0990 : Ward van Wanrooij

  • Remarque : à compter d’OS X 10.8.4, les applications Java Web Start (p. ex., JNLP) téléchargées sur Internet doivent être signées à l’aide d’un certificat d’identification des développeurs. Gatekeeper vérifiera la signature des applications Java Web Start téléchargées et bloquera le lancement des applications si elles ne sont pas signées correctement.

    Vous pouvez utiliser l’utilitaire codesign pour signer le fichier JNLP, ce qui joindra la signature du code au fichier JNLP sous forme d’attributs étendus. Pour conserver ces attributs, placez le fichier JNLP dans un fichier ZIP, XIP ou DMG. Soyez prudent si vous utilisez le format ZIP, car certains outils tiers peuvent ne pas capturer correctement les attributs étendus requis.

    Pour en savoir plus, consultez la note technique TN2206 : informations détaillées sur la signature de code sous OS X.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: