À propos des correctifs de sécurité de la mise à jour de sécurité 2009-001
Ce document décrit la mise à jour de sécurité 2009-001, qui peut être téléchargée et installée via les préférences Mise à jour de logiciels ou à partir de la page Téléchargements Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
Mise à jour de sécurité 2009-001
Serveur AFP
Référence CVE : CVE-2009-0142
Disponible pour : Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : un utilisateur en mesure de se connecter au serveur AFP est susceptible de provoquer un déni de service.
Description : un problème de concurrence dans le serveur AFP peut entraîner une boucle infinie. L’énumération de fichiers sur un serveur AFP peut conduire à un déni de service. Cette mise à jour résout le problème grâce à une meilleure logique d’énumération des fichiers. Ce problème ne concerne que les systèmes exécutant Mac OS X 10.5.6.
Vidéo Apple Pixlet
Référence CVE : CVE-2009-0009
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existe dans la gestion des fichiers vidéo à l’aide du codec Pixlet. L’ouverture d’un fichier vidéo malveillant pouvait entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Source : Apple.
CarbonCore
Référence CVE : CVE-2009-0020
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : l’ouverture d’un fichier avec un fork de ressources malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existe dans la gestion des forks de ressources par le gestionnaire de ressources. Conséquence : l’ouverture d’un fork de ressources malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une meilleure validation des branches de ressources. Source : Apple.
CFNetwork
Disponible pour : Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : rétablit le bon fonctionnement des cookies avec des délais d’expiration nuls.
Description : cette mise à jour corrige une régression non liée à la sécurité introduite dans Mac OS X 10.5.6. Il est possible que les cookies ne soient pas configurés correctement si un site web essaie de configurer des cookies de session en indiquant une valeur null dans le champ « expire », au lieu de laisser le champ vide. Cette mise à jour résout le problème en ignorant le champ « expire » en cas de valeur null.
CFNetwork
Disponible pour : Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : rétablit le bon fonctionnement des cookies de session dans l’ensemble des applications.
Description : cette mise à jour corrige une régression non liée à la sécurité introduite dans Mac OS X 10.5.6. Il est possible que CFNetwork n’enregistre pas les cookies sur le disque si plusieurs applications ouvertes essaient de configurer des cookies de session. Cette mise à jour résout le problème en veillant à ce que chaque application stocke ses cookies de session séparément.
Assistant de certification
Référence CVE : CVE-2009-0011
Disponible pour : Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : un utilisateur local peut manipuler des fichiers avec les privilèges d’un autre utilisateur exécutant Assistant de certification
Description : une opération de fichier non sécurisée existe dans la gestion des fichiers temporaires d’Assistant de certification. Cela pourrait permettre à un utilisateur local d’écraser des fichiers avec les privilèges d’un autre utilisateur exécutant Assistant de certification. Le problème est résolu par une gestion améliorée des fichiers temporaires. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5. Source : Apple.
ClamAV
Références CVE : CVE-2008-5050, CVE-2008-5314
Disponible pour : Mac OS X Server 10.4.11, Mac OS X Server 10.5.6
Conséquence : présence de plusieurs failles dans ClamAV 0.94
Description : plusieurs failles existent dans ClamAV 0.94, dont la plus grave peut entraîner l’exécution arbitraire de code. Cette mise à jour résout les problèmes en mettant à jour ClamAV vers la version 0.94.2. ClamAV est distribué uniquement avec les systèmes Mac OS X Server. Pour en savoir plus, consultez le site web de ClamAV à l’adresse suivante : http://www.clamav.net/
CoreText
Référence CVE : CVE-2009-0012
Disponible pour : Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : l’affichage de contenu Unicode malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème de dépassement de mémoire tampon peut survenir lors du traitement de chaînes Unicode dans CoreText. L’utilisation de CoreText pour gérer les chaînes Unicode malveillantes, notamment lors de l’affichage d’une page web malveillante, peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X 10.5. Merci à Rosyna d’Unsanity d’avoir signalé ce problème.
CUPS
Référence CVE : CVE-2008-5183
Disponible pour : Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : la consultation d’un site web malveillant peut entraîner la fermeture inopinée d’une application.
Description : le dépassement du nombre maximum d’abonnements RSS entraîne un déréférencement de pointeurs null dans l’interface web de CUPS. Cela peut entraîner la fermeture inopinée de l’application lors de la consultation d’un site web malveillant. Afin de déclencher ce problème, les identifiants d’utilisateur valides doivent être connus de l’attaquant ou mis en cache dans le navigateur web de l’utilisateur. CUPS redémarrera automatiquement après le déclenchement du problème. Cette mise à jour résout le problème par une gestion correcte du nombre d’abonnements RSS. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X version 10.5.
Outils DS
Référence CVE : CVE-2009-0013
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : les mots de passe fournis à dscl sont exposés aux autres utilisateurs locaux.
Description : l’outil de ligne de commande dscl exigeait que les mots de passe lui soient transmis dans ses arguments, exposant potentiellement les mots de passe aux autres utilisateurs locaux. Les mots de passe exposés incluent ceux destinés aux utilisateurs et aux administrateurs. Cette mise à jour rend le paramètre de mot de passe facultatif, et dscl demandera le mot de passe si nécessaire. Source : Apple.
fetchmail
Références CVE : CVE-2007-4565, CVE-2008-2711
Disponible pour : Mac OS X Server 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : présence de plusieurs failles dans fetchmail 6.3.8.
Description : plusieurs failles existent dans fetchmail 6.3.8, dont la plus grave peut entraîner un refus de service. Cette mise à jour résout le problème en mettant à jour vers la version 6.3.9. De plus amples informations sont disponibles sur le site web de fetchmail à l’adresse : http://fetchmail.berlios.de/
Gestionnaire de dossiers
Référence CVE : CVE-2009-0014
Disponible pour : Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : d’autres utilisateurs locaux peuvent accéder au dossier Téléchargements.
Description : un problème d’autorisations par défaut existe dans Gestionnaire de dossiers. Lorsqu’un utilisateur supprime son dossier Téléchargements et que Gestionnaire de dossiers le recrée, le dossier et créé avec des autorisations de lecture pour tout le monde. Cette mise à jour résout le problème en s’assurant que Gestionnaire de dossiers limite les autorisations afin que le dossier ne soit accessible que pour l’utilisateur. Ce problème concerne uniquement les applications utilisant Gestionnaire de dossiers. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X 10.5. Merci à Graham Perrin de CENTRIM, University of Brighton, d’avoir signalé ce problème.
FSEvents
Référence CVE : CVE-2009-0015
Disponible pour : Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : en utilisant le framework FSEvents, un utilisateur local peut être en mesure d’accéder à l’activité du système de fichiers qui serait autrement indisponible.
Description : un problème de gestion des identifiants existe dans fseventsd. En utilisant le framework FSEvents, un utilisateur local peut être en mesure d’accéder à l’activité du système de fichiers qui serait autrement indisponible. Cela inclut le nom du répertoire auquel l’utilisateur n’aurait autrement pas accès, ainsi que la détection d’activité dans le répertoire à un moment donné. Cette mise à jour corrige le problème en améliorant la validation des identifiants dans fseventsd. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X 10.5. Merci à Mark Dalrymple d’avoir signalé ce problème.
Network Time
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : la configuration du service Network Time a été mise à jour.
Description : par mesure de sécurité proactive, cette mise à jour modifie la configuration par défaut pour le service Network Time. Les informations de version et de date du système ne seront plus disponibles dans la configuration ntpd par défaut. Sous Mac OS X 10.4.11, la nouvelle configuration prend effet après le redémarrage du système lorsque le service Network Time service est activé.
perl
Référence CVE : CVE-2008-1927
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : l’utilisation d’expressions régulières contenant des caractères UTF-8 peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existe dans la gestion de certains caractères UTF-8 dans les expressions régulières. L’analyse d’expressions régulières malveillantes peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en procédant à une validation supplémentaire des expressions régulières.
Impression
Référence CVE : CVE-2009-0017
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : un utilisateur local peut obtenir des privilèges système.
Description : une erreur de gestion des erreurs dans csregprinter peut entraîner un dépassement de mémoire tampon. Cela peut permettre à un utilisateur local d’obtenir des privilèges système. Cette mise à jour résout le problème grâce à une meilleure gestion des erreurs. Nous remercions Lars Haulin d’avoir signalé ce problème.
python
Références CVE : CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031
Disponible pour : Mac OS X Server 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : présence de plusieurs failles dans python.
Description : plusieurs failles existent dans python, dont la plus grave peut entraîner l’exécution arbitraire de code. Cette mise à jour résout les problèmes en appliquant des correctifs du projet python.
Remote Apple Events
Référence CVE : CVE-2009-0018
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : l’envoi d’évènements Apple distants peut entraîner la divulgation d’informations sensibles.
Description : un problème de mémoire tampon non initialisée existe dans le serveur Remote Apple Events, ce qui peut entraîner la divulgation du contenu de la mémoire aux clients du réseau. Le problème est résolu par une initialisation appropriée de la mémoire. Source : Apple.
Remote Apple Events
Référence CVE : CVE-2009-0019
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : l’activation de Remote Apple Events peut entraîner la fermeture inopinée d’une application ou la divulgation d’informations sensibles.
Description : un accès à la mémoire hors limites existe dans Remote Apple Events. L’activation de Remote Apple Events peut entraîner la fermeture inopinée d’une application ou la divulgation d’informations sensibles aux clients du réseau. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Source : Apple.
Safari RSS
Référence CVE : CVE-2009-0137
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : l’accès à une URL feed: malveillante peut entraîner l’exécution de code arbitraire.
Description : plusieurs problèmes de validation des entrées existent dans la gestion des URL feed: par Safari. Les problèmes permettent l’exécution arbitraire de code JavaScript dans la zone de sécurité locale. Cette mise à jour résout les problèmes grâce à une meilleure gestion du code JavaScript intégré dans les URL feed:. Merci à Clint Ruoho de Laconic Security, Billy Rios de Microsoft et Brian Mastenbrook d’avoir signalé ces problèmes.
servermgrd
Référence CVE : CVE-2009-0138
Disponible pour : Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : les attaquants à distance peuvent être en mesure d’accéder à Server Manager sans identifiants valides.
Description : un problème de validation des identifiants d’authentification par Server Manager pourrait permettre à un attaquant à distance d’altérer la configuration du système. Cette mise à jour résout le problème en procédant à une validation supplémentaire des identifiants d’authentification. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5. Source : Apple.
SMB
Référence CVE : CVE-2009-0139
Disponible pour : Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : la connexion à un système de fichiers SMB malveillant peut entraîner une fermeture inopinée du système ou l’exécution arbitraire de code avec des privilèges système.
Description : un dépassement d’entier dans le système de fichiers SMB peut entraîner un dépassement de la mémoire tampon. La connexion à un système de fichiers SMB malveillant peut entraîner une fermeture inopinée du système ou l’exécution arbitraire de code avec des privilèges système. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5. Source : Apple.
SMB
Référence CVE : CVE-2009-0140
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : la connexion à un serveur de fichiers SMB malveillant peut entraîner une fermeture inopinée du système.
Description : un problème d’épuisement de la mémoire existe dans la gestion des noms de système de fichiers par le système de fichiers SMB. La connexion à un serveur de fichiers SMB malveillant peut entraîner une fermeture inopinée du système. Cette mise à jour résout le problème en limitant la mémoire allouée par le client aux noms de système de fichiers. Source : Apple.
SquirrelMail
Références CVE : CVE-2008-2379, CVE-2008-3663
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.5.6
Conséquence : présence de plusieurs failles dans SquirrelMail.
Description : SquirrelMail est mis à jour vers la version 1.4.17 pour corriger plusieurs failles, dont la plus grave est un problème d’injection de code indirect. De plus amples informations sont disponibles sur le site web de SquirrelMail à l’adresse suivante : http://www.SquirrelMail.org/
X11
Références CVE : CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362
Disponible pour : Mac OS X Server 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : présence de plusieurs failles dans le serveur X11.
Description : plusieurs failles existent dans le serveur X11. La plus grave peut entraîner l’exécution arbitraire de code avec les privilèges de l’utilisateur exécutant le serveur X11, si l’attaquant peut s’authentifier sur le serveur X11. Cette mise à jour résout les problèmes en appliquant les correctifs X.Org mis à jour. Pour en savoir plus, consultez le site web de X.Org à l’adresse suivante : http://www.x.org/wiki/Development/Security
X11
CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11
Conséquence : présence de plusieurs failles dans FreeType 2.1.4.
Description : plusieurs failles existent dans FreeType 2.1.4, dont la plus grave peut entraîner l’exécution arbitraire de code lors du traitement d’une police malveillante. Cette mise à jour résout les problèmes en incorporant des correctifs de sécurité à partir de la version 2.3.6 de FreeType. Pour en savoir plus, consultez le site web de FreeType à l’adresse suivante : http://www.freetype.org/Les problèmes sont déjà résolus dans les systèmes utilisant Mac OS X version 10.5.6.
X11
CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11
Conséquence : présence de plusieurs failles dans LibX11.
Description : plusieurs failles existent dans LibX11, dont la plus grave peut entraîner l’exécution arbitraire de code lors du traitement d’une police malveillante. Cette mise à jour résout les problèmes en appliquant les correctifs X.Org mis à jour. Pour en savoir plus, consultez le site web de X.Org à l’adresse suivante : http://www.x.org/wiki/Development/Security Ces problèmes ne concernent pas les systèmes utilisant Mac OS X 10.5 ou une version ultérieure.
XTerm
Référence CVE : CVE-2009-0141
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6
Conséquence : un utilisateur local peut envoyer des informations directement au système Xterm d’un autre utilisateur.
Description : un problème d’autorisations existe dans Xterm. Utilisé conjointement avec luit, Xterm crée des appareils tty accessibles à tous. Cette mise à jour résout le problème en s’assurant que Xterm limite les autorisations afin que les appareils tty ne soient accessibles que par l’utilisateur.
Important : les mentions de sites web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’assume aucune responsabilité en ce qui concerne la sélection, les performances ou l’utilisation des informations ou des produits disponibles sur les sites web tiers. Apple fournit ces informations uniquement pour rendre service à ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. L’utilisation d’informations ou de produits trouvés sur Internet comporte des risques, et Apple n’assume aucune responsabilité à cet égard. Veuillez noter que les sites web tiers sont indépendants d’Apple et qu’Apple n’a aucun contrôle sur leur contenu. Veuillez contacter le fournisseur pour obtenir plus d’informations.