À propos des correctifs de sécurité d’OS X El Capitan 10.11

Consultez cet article pour en savoir plus sur les correctifs de sécurité d’OS X El Capitan 10.11.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité des produits Apple, consultez la page Web Sécurité des produits Apple.

Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

OS X El Capitan 10.11

  • Carnet d’adresses

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant local peut être en mesure d’associer du code arbitraire à des processus entraînant le chargement du cadre du carnet d’adresses.

    Description : un problème existait au niveau de la gestion, par le cadre du carnet d’adresses, d’une variable d’environnement. Ce problème a été résolu par une meilleure gestion des variables d’environnement.

    Référence CVE

    CVE-2015-5897 : Dan Bastone de Gotham Digital Science.

  • AirScan

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut extraire des données utiles de paquets eSCL transmis via une connexion sécurisée.

    Description : un problème existait au niveau du traitement des paquets eSCL. Il a été résolu par de meilleurs tests de validation.

    Référence CVE

    CVE-2015-5853 : un chercheur anonyme.

  • apache_mod_php

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : PHP présente plusieurs vulnérabilités.

    Description : PHP (versions antérieures à la version 5.5.27) présentait plusieurs vulnérabilités, l’une d’elles pouvant entraîner l’exécution arbitraire de code. Ce problème a été résolu par la mise à jour de PHP vers la version 5.5.27.

    Référence CVE

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Kit Apple Online Store

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : une application malveillante peut être en mesure d’accéder aux composants du trousseau d’un utilisateur.

    Description : un problème existait au niveau de la validation des listes de contrôle d’accès applicables aux composants du trousseau iCloud. Ce problème a été résolu par un meilleur contrôle des listes de contrôle d’accès.

    Référence CVE

    CVE-2015-5836 : XiaoFeng Wang de l’Indiana University, Luyi Xing de l’Indiana University, Tongxin Li de la Peking University, Tongxin Li de la Peking University, Xiaolong Bai de la Tsinghua University.

  • AppleEvents

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur employant la fonctionnalité Partage d’écran peut transmettre des événements Apple à une session locale.

    Description : un problème existait au niveau du filtrage des événements Apple, et permettait à certains utilisateurs de transmettre des événements à d’autres. Ce problème a été résolu par une meilleure prise en charge des événements Apple.

    Référence CVE

    CVE-2015-5849 : Jack Lawrence (@_jackhl).

  • Audio

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : la lecture d’un fichier audio malveillant peut provoquer un arrêt inattendu de l’application.

    Description : la gestion des fichiers audio présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5862 : YoungJin Yoon d’Information Security Lab (Dir.: Prof. Taekyoung Kwon), Université de Yonsei, Seoul, Corée.

  • bash

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : bash présente plusieurs vulnérabilités.

    Description : plusieurs vulnérabilités affectaient bash, si sa version était antérieure à la version 3.2 et s’il ne profitait pas du correctif 57. Ce problème a été résolu par la mise à jour de bash 3.2 à l’aide du correctif 57.

    Référence CVE

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Politique de fiabilité des certificats

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : la politique de fiabilité des certificats a été mise à jour.

    Description : la politique de fiabilité des certificats était mise à jour. La liste complète des certificats peut être consultée à l’adresse https://support.apple.com/fr-fr/HT202858.

  • Cookies CFNetwork

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant profitant d’une position privilégiée sur le réseau peut traquer les activités d’un utilisateur.

    Description : un problème lié aux cookies partagés entre plusieurs domaines existait au niveau de la gestion des domaines de niveau supérieur. Le problème a été résolu par une amélioration des restrictions applicables à la création de cookie.

    Référence CVE

    CVE-2015-5885 : Xiaofeng Zheng de la Blue Lotus Team (Tsinghua University).

  • CFNetwork/Protocole FTP

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : des serveurs FTP malveillants peuvent forcer le client à procéder à des tests de reconnaissance au niveau des autres hôtes.

    Description : un problème existait au niveau de la gestion des paquets FTP lors de l’utilisation de la commande PASV. Ce problème a été résolu par une meilleure validation.

    Référence CVE

    CVE-2015-5912 : Amit Klein.

  • CFNetwork/Protocole HTTP

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : une URL malveillante peut ne pas être filtrée par HSTS et permettre la divulgation d’informations sensibles.

    Description : un problème d’analyse des URL existait au niveau de la gestion d’HSTS. Ce problème a été résolu par une meilleure analyse des URL.

    Référence CVE

    CVE-2015-5858 : Xiaofeng Zheng de la Blue Lotus Team (Tsinghua University).

  • CFNetwork/Protocole HTTP

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter le trafic réseau.

    Description : un problème existait au niveau de la gestion des entrées associées aux listes de préchargement HSTS, dans Safari et en mode de navigation privée. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2015-5859 : Rosario Giustolisi de l’université du Luxembourg

  • CFNetwork/Protocole HTTP

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un site Web malveillant est susceptible de traquer les utilisateurs de Safari en mode de navigation privée.

    Description : un problème existait au niveau de la gestion de l’état HSTS, dans Safari et en mode de navigation privée. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2015-5860 : Sam Greenhalgh de RadicalResearch Ltd.

  • Proxys CFNetwork

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : la connexion à un proxy Web malveillant est susceptible d’entraîner la configuration de cookies malveillants pour un site Web.

    Description : un problème survenait lors de la gestion des réponses aux demandes de connexion du proxy. Ce problème a été résolu par la suppression de l’en-tête set-cookie lors de l’analyse de la réponse de connexion.

    Référence CVE

    CVE-2015-5841 : Xiaofeng Zheng de la Blue Lotus Team (Tsinghua University).

  • Protocole SSL de CFNetwork

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter les connexions s’effectuant via le protocole SSL/TLS.

    Description : un problème de validation de certificat existait dans NSURL, lorsqu’un certificat était modifié. Ce problème a été résolu par une meilleure validation des certificats.

    Référence CVE

    CVE-2015-5824 : Timothy J. Wood de The Omni Group.

  • Protocole SSL de CFNetwork

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant peut être en mesure de déchiffrer des données protégées par le protocole SSL.

    Description : le niveau de confidentialité de l’algorithme RC4 était affaibli. Un attaquant pouvait forcer l’utilisation de l’algorithme RC4, y compris lorsque le serveur adoptait de meilleurs chiffrements. Pour ce faire, les connexions effectuées à l’aide du protocole TLS 1.0 et version ultérieure étaient bloquées, jusqu’à l’utilisation du protocole SSL 3.0 par CFNetwork (le protocole SSL 3.0 prenant uniquement l’algorithme RC4 en charge). Ce problème a été résolu par le non-emploi du protocole SSL 3.0.

  • CoreCrypto

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant peut être en mesure d’obtenir une clé privée.

    Description : un attaquant pouvait être en mesure d’obtenir la clé privée RSA en évaluant les tentatives de connexion ou de déchiffrement. Ce problème a été résolu par l’amélioration des algorithmes de chiffrement utilisés.

  • CoreText

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de polices. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team.

  • Outils de développement

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : dyld présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5876 : beist de grayhash.

  • Outils de développement

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : une application peut contourner les vérifications de signature de code

    Description : un problème existait au niveau de la validation de la signature de code des fichiers exécutables. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5839 : @PanguTeam.

  • Images disque

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : DiskImages présentait un problème de corruption de la mémoire. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5847 : Filippo Bigarella, Luca Todesco.

  • dyld

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : une application peut contourner les vérifications de signature de code

    Description : un problème existait au niveau de la validation de la signature de code des fichiers exécutables. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5839 : TaiG Jailbreak Team.

  • EFI

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : une application malveillante peut empêcher le démarrage de certains systèmes.

    Description : un problème existait avec les adresses incluses à la plage protégée. Ce problème a été résolu par la modification de la plage protégée.

    Référence CVE

    CVE-2015-5900 : Xeno Kovah et Corey Kallenberg de LegbaCore.

  • EFI

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un adaptateur Thunderbolt Ethernet Apple malveillant peut affecter le fonctionnement du micrologiciel.

    Description : les adaptateurs Thunderbolt Ethernet Apple pouvaient avoir une incidence sur le fonctionnement du micrologiciel hôte s’ils étaient connectés lors de la mise à jour de l’EFI. Ce problème a été résolu par le non-chargement des ROM facultatives lors des mises à jour.

    Référence CVE

    CVE-2015-5914 : Trammell Hudson de Two Sigma Investments et snare.

  • Finder

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : l’option « Vider la corbeille en mode sécurisé » pouvait ne pas permettre de supprimer, de manière sécurisée, les fichiers se trouvant dans la corbeille.

    Description : un problème empêchait la suppression sécurisée des fichiers de la corbeille sur certains systèmes, notamment ceux permettant de profiter d’un stockage flash. Ce problème a été résolu par la suppression de l’option « Vider la corbeille en mode sécurisé ».

    Référence CVE

    CVE-2015-5901 : Apple.

  • Game Center

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : une application Game Center malveillante peut permettre d’accéder à l’adresse e-mail d’un joueur.

    Description : un problème existait au niveau de la gestion, dans Game Center, de l’adresse e-mail d’un joueur. Ce problème a été résolu par un meilleur contrôle des restrictions d’accès.

    Référence CVE

    CVE-2015-5855 : Nasser Alnasser.

  • Heimdal

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant peut être en mesure de transmettre des identifiants Kerberos au niveau du serveur SMB.

    Conséquence : un problème d’authentification était associé aux identifiants Kerberos. Ce problème a été résolu par une validation supplémentaire des identifiants, sur la base d’identifiants récemment utilisés.

    Référence CVE

    CVE-2015-5913 : Tarun Chopra de Microsoft Corporation (États-Unis) et Yu Fan de Microsoft Corporation (Chine).

  • ICU

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : ICU présente plusieurs vulnérabilités.

    Description : plusieurs vulnérabilités affectaient les versions d’ICU antérieures à la version 53.1.0. Elles ont été résolues par une mise à jour d’ICU vers la version 55.1.

    Référence CVE

    CVE-2014-8146 : Marc Deslauriers

    CVE-2014-8147 : Marc Deslauriers

    CVE-2015-5922 : Mark Brand de Google Project Zero

  • Install Framework Legacy

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut bénéficier de privilèges racine.

    Description : un problème de restrictions existait au niveau du cadre privé Installer, contenant un fichier exécutable associé à des privilèges. Ce problème a été résolu par la suppression du fichier exécutable.

    Référence CVE

    CVE-2015-5888 : Apple.

  • Gestionnaire Intel Graphics

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : le gestionnaire Intel Graphics présente plusieurs problèmes de corruption de la mémoire. Ils ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5830 : Yuki MIZUNO (@mzyy94).

    CVE-2015-5877 : Camillus Gerard Cai.

  • IOAudioFamily

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : IOAudioFamily présentait un problème qui entraînait la divulgation du contenu de la mémoire du noyau. Ce problème a été résolu par la permutation des pointeurs de noyau.

    Référence CVE

    CVE-2015-5864 : Luca Todesco.

  • IOGraphics

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut être en mesure d’exécuter un code arbitraire avec des privilèges noyau.

    Description : plusieurs problèmes de corruption de la mémoire survenaient au niveau du noyau. Ils ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5871 : Ilja van Sprundel d’IOActive.

    CVE-2015-5872 : Ilja van Sprundel d’IOActive.

    CVE-2015-5873 : Ilja van Sprundel d’IOActive.

    CVE-2015-5890 : Ilja van Sprundel d’IOActive.

  • IOGraphics

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : IOGraphics présentait un problème qui pouvait entraîner la divulgation de la structure de la mémoire du noyau. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5865 : Luca Todesco.

  • IOHIDFamily

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : IOHIDFamily présentait plusieurs problèmes de corruption de la mémoire. Ils ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5866 : Apple.

    CVE-2015-5867 : moony li de Trend Micro.

  • IOStorageFamily

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant local peut être en mesure de lire la mémoire du noyau.

    Description : un problème d’initialisation de la mémoire existait au niveau du noyau. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5863 : Ilja van Sprundel d’IOActive.

  • Noyau

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut être en mesure d’exécuter un code arbitraire avec des privilèges noyau.

    Description : plusieurs problèmes de corruption de la mémoire survenaient au niveau du noyau. Ils ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5868 : Cererdlong de l’Alibaba Mobile Security Team.

    CVE-2015-5896 : Maxime Villard de m00nbsd.

    CVE-2015-5903 : CESG.

  • Noyau

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un processus local peut modifier d’autres processus sans vérifier les autorisations.

    Description : les processus racine utilisant l’API processor_set_tasks étaient autorisés à récupérer les ports de tâche d’autres processus. Ce problème a été résolu par des tests supplémentaires au niveau des autorisations.

    Référence CVE

    CVE-2015-5882 : Pedro Vilaça, à partir d’une recherche menée par Ming-chieh Pan et Sung-ting Tsai ; Jonathan Levin.

  • Noyau

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant local peut contrôler la valeur des cookies de pile.

    Description : la génération des cookies de pile présentait plusieurs problèmes. Ces problèmes ont été résolus par une meilleure génération des cookies de pile.

    Référence CVE

    CVE-2013-3951 : Stefan Esser.

  • Noyau

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant peut être à l’origine d’attaques par déni de service sur des connexions TCP ciblées, sans avoir connaissance de la séquence numérique appropriée.

    Description : un problème existait au niveau de la validation, par xnu, des en-têtes de paquets TCP. Ce problème a été résolu par une meilleure validation des en-têtes de paquets TCP.

    Référence CVE

    CVE-2015-5879 : Jonathan Looney.

  • Noyau

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant se trouvant dans un segment LAN local peut désactiver le routage IPv6.

    Description : un problème de validation insuffisante survenait lors de la gestion des annonces du routeur IPv6, ce qui permettait à un attaquant de régler la limite de sauts sur une valeur arbitraire. Ce problème a été résolu par l’application d’une limite de sauts minimale.

    Référence CVE

    CVE-2015-5869 : Dennis Spindel Ljungmark.

  • Noyau

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : un problème entraînait la divulgation du contenu de la mémoire du noyau. Ce problème a été résolu par l’amélioration de l’initialisation des structures de la mémoire du noyau.

    Référence CVE

    CVE-2015-5842 : beist de grayhash.

  • Noyau

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : un problème existait au niveau des interfaces de débogage et entraînait la divulgation du contenu de la mémoire. Ce problème a été résolu par la vérification des sorties au niveau des interfaces de débogage.

    Référence CVE

    CVE-2015-5870 : Apple.

  • Noyau

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut être à l’origine d’un déni de service du système.

    Description : un problème de gestion d’état existait au niveau de la fonctionnalité de débogage. Il a été résolu par une meilleure validation.

    Référence CVE

    CVE-2015-5902 : Sergi Alvarez (pancake) de la NowSecure Research Team.

  • libc

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau de la fonction fflush. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2014-8611 : Adrian Chadd et Alfred Perlstein de Norse Corporation.

  • libpthread

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut être en mesure d’exécuter un code arbitraire avec des privilèges noyau.

    Description : un problème de corruption de la mémoire existait dans le noyau. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5899 : Lufeng Li de la Qihoo 360 Vulcan Team.

  • libxpc

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : de nombreuses connexions SSH peuvent entraîner un déni de service.

    Description : aucune limite n’était appliquée, dans launchd, au niveau du nombre de processus pouvant être initialisés par une connexion réseau. Ce problème a été résolu par la limitation du nombre de processus SSH à 40.

    Référence CVE

    CVE-2015-5881 : Apple.

  • Fenêtre d’ouverture de session

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : l’écran peut ne pas se verrouiller après l’intervalle de temps indiqué.

    Description : un problème existait au niveau du verrouillage de l’écran. Ce problème a été résolu par une meilleure gestion du verrouillage.

    Référence CVE

    CVE-2015-5833 : Carlos Moreira, Rainer Dorau de rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera et Jon Hall d’Asynchrony.

  • lukemftpd

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant distant peut être en mesure d’occasionner un déni de service au niveau du serveur FTP.

    Description : un problème de traitement des requêtes glob existait dans tnftpd. Ce problème a été résolu par une meilleure validation des requêtes glob.

    Référence CVE

    CVE-2015-5917 : Maksymilian Arciemowicz de cxsecurity.com.

  • Mail

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : l’impression d’un e-mail peut entraîner la divulgation d’informations sensibles.

    Description : un problème, entraînant la non-prise en compte des préférences utilisateur lors de l’impression d’un e-mail, existait dans Mail. Ce problème a été résolu par une meilleure prise en compte des préférences utilisateur.

    Référence CVE

    CVE-2015-5881 : Owen DeLong d’Akamai Technologies, Noritaka Kamiya, Dennis Klein d’Eschenburg (Allemagne), Jeff Hammett de Systim Technology Partners.

  • Mail

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut être en mesure d’intercepter les pièces jointes à des e-mails chiffrés à l’aide du protocole S/MIME, et envoyés via Mail Drop.

    Description : un problème existait au niveau de la gestion des paramètres de chiffrement, en cas de pièces jointes volumineuses envoyées via Mail Drop. Ce problème a été résolu par la non-disponibilité de Mail Drop lors de l’envoi d’un e-mail chiffré.

    Référence CVE

    CVE-2015-5884 : John McCombs d’Integrated Mapping Ltd.

  • Connectivité de pairs multiples

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant local peut être en mesure d’examiner les données non sécurisées de pairs multiples.

    Description : un problème existait au niveau de la gestion du convenience initializer et entraînait le non-chiffrement de la session. Ce problème a été résolu par une modification du convenience initializer de sorte que le chiffrement soit obligatoire.

    Référence CVE

    CVE-2015-5851 : Alban Diquet (@nabla_c0d3) de Data Theorem.

  • NetworkExtension

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : un problème de mémoire non initialisée existait dans le noyau et entraînait la divulgation du contenu de la mémoire de ce dernier. Il a été résolu par une meilleure initialisation de la mémoire.

    Référence CVE

    CVE-2015-5831 : Maxime Villard de m00nbsd.

  • Notes

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut divulguer des données utilisateur sensibles.

    Description : un problème de mémoire non initialisée existait dans le noyau et entraînait la divulgation du contenu de la mémoire de ce dernier. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-5878 : Craig Young de Tripwire VERT, un chercheur anonyme.

  • Notes

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut divulguer des données utilisateur sensibles.

    Description : un problème de scriptage intersites existait au niveau de l’analyse du texte par l’application Notes. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-5875 : xisigr de l’équipe Xuanwu LAB de Tencent (www.tencent.com).

  • OpenSSH

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : OpenSSH présente plusieurs vulnérabilités.

    Description : plusieurs vulnérabilités affectaient les versions d’OpenSSH antérieures à la version 6.9. Elles ont été résolues par une mise à jour d’OpenSSH vers la version 6.9.

    Référence CVE

    CVE-2014-2532

  • OpenSSL

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : plusieurs vulnérabilités affectent OpenSSL.

    Description : les versions d’OpenSSL antérieures à la version 0.9.8zg présentaient plusieurs vulnérabilités. Celles-ci ont été corrigées par la mise à jour d’OpenSSL vers la version 0.9.8zg.

    Référence CVE

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : procmail présente plusieurs vulnérabilités.

    Description : plusieurs vulnérabilités affectaient les versions de procmail antérieures à la version 3.22. Elles ont été résolues par la suppression de procmail.

    Référence CVE

    CVE-2014-3618

  • remote_cmds

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges racine.

    Description : un problème existait au niveau de la gestion, par le binaire rsh, des variables d’environnement. Ce problème a été résolu par la suppression des privilèges setuid pour le binaire rsh.

    Référence CVE

    CVE-2015-5889 : Philip Pettersson.

  • removefile

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : le traitement de données malveillantes est susceptible de provoquer un arrêt inattendu de l’application.

    Description : un problème de dépassement de capacité existait au niveau des routines de division checkint. Ce problème a été résolu par une amélioration des routines de division.

    Référence CVE

    CVE-2015-5840 : un chercheur anonyme.

  • Rubis

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : Ruby présente plusieurs vulnérabilités.

    Description : les versions de Ruby antérieures à la version 2.0.0p645 présentaient plusieurs vulnérabilités. Celles-ci ont été corrigées par la mise à jour de Ruby vers la version 2.0.0p645.

    Référence CVE

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • Sécurité

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : l’état de verrouillage du trousseau peut être incorrectement indiqué.

    Description : un problème de gestion des états existaient au niveau du suivi de l’état de verrouillage du trousseau. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2015-5915 : Peter Walz de l’université du Minnesota, David Ephron, Eric E. Lawrence, Apple.

  • Sécurité

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : une évaluation du niveau de confiance, nécessitant une vérification des révocations, peut se révéler fructueuse même si ladite vérification échoue.

    Description : la balise kSecRevocationRequirePositiveResponse était spécifiée, mais pas implémentée. Ce problème a été résolu par l’implémentation de la balise.

    Référence CVE

    CVE-2015-5894 : Hannes Oud de kWallet GmbH.

  • Sécurité

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un serveur distant peut nécessiter un certificat avant toute identification.

    Conséquence : la demande de certificat était validée par le protocole Secure Transport, avant la demande d’échange de clé serveur. Ce problème a été résolu par la demande, au préalable, de l’échange de clé serveur.

    Référence CVE

    CVE-2015-5887 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti et Jean Karim Zinzindohoue de l’INRIA Paris-Rocquencourt, Cédric Fournet et Markulf Kohlweiss de Microsoft Research, Pierre-Yves Strub de l’IMDEA Software Institute.

  • SMB

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut être en mesure d’exécuter un code arbitraire avec des privilèges noyau.

    Description : un problème de corruption de la mémoire existait dans le noyau. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5891 : Ilja van Sprundel d’IOActive.

  • SMB

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : un problème existait dans SMBClient et entraînait la divulgation du contenu de la mémoire du noyau. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5893 : Ilja van Sprundel d’IOActive.

  • SQLite

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : SQLite 3.8.5 présentait plusieurs vulnérabilités.

    Description : plusieurs vulnérabilités affectaient SQLite 3.8.5. Celles-ci ont été corrigées par la mise à jour de SQLite vers la version 3.8.10.2.

    Référence CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Téléphonie

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant local peut passer des appels téléphoniques sans que l’utilisateur concerné n’en soit conscient, à l’aide des services de continuité.

    Description : un problème existait au niveau de la vérification des autorisations dans le cadre des appels téléphoniques. Ce problème a été résolu par de meilleurs tests d’autorisation.

    Référence CVE

    CVE-2015-3785 : Dan Bastone de Gotham Digital Science.

  • Terminal

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : du texte conçu de manière malveillante peut permettre, dans Terminal, d’induire l’utilisateur en erreur.

    Description : Terminal ne traitait pas les caractères bidirectionnels d’écrasement de la même manière, lors de l’affichage et de la sélection de texte. Ce problème a été résolu par la suppression des caractères bidirectionnels d’écrasement dans Terminal.

    Référence CVE

    CVE-2015-5883 : Lukas Schauer (@lukas2511).

  • tidy

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : la consultation d’un site Web malveillant peut conduire à l’exécution arbitraire de code.

    Description : tidy présentait plusieurs problèmes de corruption de la mémoire. Ils ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5522 : Fernando Muñoz de NULLGroup.com.

    CVE-2015-5523 : Fernando Muñoz de NULLGroup.com.

  • Time Machine

    Disponible pour : Mac OS X 10.6.8 et version ultérieure.

    Conséquence : un attaquant local peut être en mesure d’accéder au contenu du trousseau.

    Description : un problème existait au niveau des sauvegardes effectuées par le cadre Time Machine. Ce problème a été résolu par une meilleure prise en charge des sauvegardes Time Machine.

    Référence CVE

    CVE-2015-5854 : Jonas Magazinius d’Assured AB.

Remarque : OS X El Capitan 10.11 inclut les correctifs de sécurité de Safari 9.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: