À propos des correctifs de sécurité d’OS X Lion 10.7.3 et de la mise à jour de sécurité 2012-001

Ce document décrit les correctifs de sécurité d’OS X Lion 10.7.3 et la mise à jour de sécurité 2012-001.

Ce document détaille les correctifs de sécurité d’OS X Lion 10.7.3 et la mise à jour de sécurité 2012-001, que vous pouvez télécharger et installer par l’intermédiaire de Mise à jour logicielle ou depuis la page Téléchargements.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
 

OS X Lion 10.7.3 et mise à jour de sécurité 2012-001

  • Carnet d’adresses

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : un attaquant profitant d’une position privilégiée sur le réseau est susceptible d’intercepter des données CardDAV.

    Description : le carnet d’adresses prend en charge le protocole SSL lors de l’accès aux donnés CardDAV. En raison d’un problème de rétrogradation, le carnet d’adresses tente de procéder à une connexion non-chiffrée lorsqu’une connexion chiffrée échoue. Un attaquant profitant d’une position privilégiée sur le réseau est susceptible de tirer profit de la situation pour intercepter des données CardDAV. Ce problème est résolu par le non-basculement à une connexion non-chiffrée sans l’accord de l’utilisateur.

    Référence CVE

    CVE-2011-3444 : Bernard Desruisseaux d’Oracle Corporation.

  • Apache

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : Apache présente plusieurs vulnérabilités.

    Description : la mise à jour 2.2.21 d’Apache résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner un déni de service. Des informations supplémentaires sont disponibles sur le site Web d’Apache, à l’adresse http://httpd.apache.org/.

    Référence CVE

    CVE-2011-3348

  • Apache

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : un attaquant peut être en mesure de déchiffrer des données protégées par le protocole SSL.

    Description : la confidentialité des protocoles SSL 3.0 et TLS 1.0 est sujette à des attaques lorsqu’une suite de chiffrement utilise un chiffrement de bloc en mode d’enchaînement des blocs. Apache a désactivé la contre-mesure « fragment vide » qui permettait d’empêcher ces attaques d’aboutir. Ce problème est résolu par l’utilisation du nouveau paramètre de configuration afin de contrôler les contre-mesures, et de les activer par défaut.

    Référence CVE

    CVE-2011-3389

  • ATS

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’ouverture d’une police malveillante dans le livre des polices peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : l’ouverture des fichiers de police dans le livre des polices, par l’intermédiaire d’AST, présente un problème de gestion de la mémoire.

    Référence CVE

    CVE-2011-3446 : Will Dormann du CERT/CC.

  • CFNetwork

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la consultation d’un site Web malveillant peut provoquer la divulgation d’informations confidentielles.

    Description : un problème existait au niveau de la gestion par CFNetwork des URL défectueuses. Il est probable que CFNetwork envoie une requête à un serveur d’origine incorrect lors de l’utilisation d’une URL malveillante. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3246 : Erling Ellingsen de Facebook.

  • CFNetwork

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la consultation d’un site Web malveillant peut provoquer la divulgation d’informations confidentielles.

    Description : un problème existait au niveau de la gestion par CFNetwork des URL défectueuses. Il est probable que CFNetwork envoie des en-têtes de requêtes inattendus lors de l’utilisation d’une URL malveillante. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3447 : Erling Ellingsen de Facebook.

  • ColorSync

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : l’affichage d’une image malveillante avec un profil ColorSync intégré peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un dépassement d’entier se produisait au niveau de la gestion des images contenant un profil ColorSync intégré, pouvant conduire à un dépassement de la mémoire tampon. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-0200 : binaryproof en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • CoreAudio

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : la lecture de contenu audio malveillant peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des flux audio à encodage audio avancé présente un problème de dépassement de la mémoire tampon. Ce problème n’affecte pas les systèmes OS X Lion.

    Référence CVE

    CVE-2011-3252 : Luigi Auriemma en collaboration avec Zero Day Initiative de TippingPoint.

  • CoreMedia

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion de fichiers vidéo encodés en H.264 par CoreMedia présente un problème de dépassement de la mémoire tampon.

    Référence CVE

    CVE-2011-3448 : Scott Stender d’iSEC Partners.

  • CoreText

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : le téléchargement ou l’affichage d’un document contenant une police malveillante peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des fichiers de police présente un problème d’utilisation ultérieure libre.

    Référence CVE

    CVE-2011-3449 : Will Dormann du CERT/CC.

  • CoreUI

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la consultation d’un site Web malveillant peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des longs URL présente un problème d’allocation de pile non-limitée. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3450 : Ben Syverson.

  • cURL

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : il est possible qu’un serveur à distance puisse être considéré comme un client, grâce à des requêtes GSSAPI.

    Description : lors de l’identification GSSAPI, libcurl procède toujours à la délégation des informations d’identification. Ce problème est résolu par la désactivation de la délégation des informations d’identification GSSAPI.

    Référence CVE

    CVE-2011-2192

  • Sécurité des données

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter les identifiants de l’utilisateur ou d’autres données sensibles.

    Description : deux autorités de certification incluses dans la liste des certificats racine de confiance ont délivré des certificats intermédiaires à DigiCert Malaysia de manière indépendante. DigiCert Malaysia a délivré des certificats comprenant des clés faibles qu’il n’est pas à même de révoquer. Un attaquant bénéficiant d’une position privilégiée sur le réseau est susceptible d’intercepter les données d’identification de l’utilisateur ou d’autres informations confidentielles destinées à un site Web doté d’un certificat délivré par DigiCert Malaysia. Ce problème est résolu par la configuration des réglages de confiance par défaut du système, de sorte que les certificats de DigiCert Malaysia ne soient plus considérés comme des certificats de confiance. Nous remercions Bruce Morton d’Entrust, Inc. de nous avoir signalé ce problème.

  • dovecot

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : un attaquant peut être en mesure de déchiffrer des données protégées par le protocole SSL.

    Description : la confidentialité des protocoles SSL 3.0 et TLS 1.0 est sujette à des attaques lorsqu’une suite de chiffrement utilise un chiffrement de bloc en mode d’enchaînement des blocs. Dovecot a désactivé la contre-mesure « fragment vide » qui permettait d’empêcher ces attaques d’aboutir. Ce problème est résolu par l’activation des contre-mesures.

    Référence CVE

    CVE-2011-3389 : Apple.

  • filecmds

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la décompression d’un fichier malveillant peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : l’outil en ligne de commande « uncompress » présente un problème de dépassement de la mémoire tampon.

    Référence CVE

    CVE-2011-2895

  • ImageIO

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’affichage d’un fichier TIFF malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion par libtiff des fichiers TIFF encodés en ThunderScan. Ce problème est résolu par la mise à jour de libtiff vers la version 3.9.5.

    Référence CVE

    CVE-2011-1167

  • ImageIO

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : vulnérabilités multiples dans la version 1.5.4 de libpng

    Description : la mise à jour 1.5.5 de libpng résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner l’exécution arbitraire de code. Des informations supplémentaires sont disponibles sur le site Web de libpng, à l’adresse http://www.libpng.org/pub/png/libpng.html.

    Référence CVE

    CVE-2011-3328

  • Partage Internet

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : il est possible que les réglages de sécurité par défaut d’un réseau Wi-Fi créé via le partage Internet soient rétablis après une mise à jour du système.

    Description : suite à une mise à jour vers une version d’OS X Lion antérieure à la version 10.7.3, il est possible que les réglages de sécurité par défaut de la configuration Wi-Fi créée via le partage Internet soient rétablis. Ceci désactive le mot de passe WEP. Ce problème affecte uniquement les systèmes pour lesquels le partage Internet est activé et qui partagent leur connexion via Wi-Fi. Ce problème est résolu par le maintien de la configuration Wi-Fi en l’état lors de toute mise à jour du système.

    Référence CVE

    CVE-2011-3452 : un chercheur anonyme.

  • Libinfo

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : la consultation d’un site Web malveillant peut provoquer la divulgation d’informations confidentielles.

    Description : la gestion des demandes de recherche du nom d’hôte par Libinfo présente un problème. Il arrive que Libinfo renvoie des résultats incorrects pour un nom d’hôte malveillant. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3441 : Erling Ellingsen de Facebook.

  • libresolv

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : les applications utilisant la bibliothèque libresolv d’OS X peuvent se révéler vulnérables à une fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : un dépassement d’entier se produit lors de l’analyse des enregistrements de ressources DNS, entraînant une corruption de la mémoire tampon.

    Référence CVE

    CVE-2011-3453 : Ilja van Sprundel d’IOActive.

  • libsecurity

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : il est possible que certains certificats EV soient considérés comme étant de confiance bien que la racine correspondante ait été signalée comme malveillante.

    Description : le code de certificat considère un certificat racine comme étant de confiance pour la signature de certificats EV dès lors que celui-ci se trouve sur la liste des émetteurs EV, et ce même si l’utilisateur lui a assigné la mention « Ne jamais approuver » dans le trousseau. La racine n’est pas considérée comme étant de confiance pour la signature des certificats autres que les certificats EV.

    Référence CVE

    CVE-2011-3422 : Alastair Houghton.

  • OpenGL

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : les applications utilisant la mise en œuvre OpenGL d’OS X peuvent être sujettes à une fermeture inopinée ou à l’exécution arbitraire de code.

    Description : la fonction de compilation GLSL présente plusieurs problèmes de corruption de la mémoire.

    Référence CVE

    CVE-2011-3457 : Chris Evans de l’équipe de sécurité de Google Chrome et Marc Schoenefeld du service relations de l’équipe de sécurité de Red Hat.

  • PHP

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : de multiples vulnérabilités affectent PHP 5.3.6.

    Description : la mise jour 5.3.8 de PHP résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner l’exécution arbitraire de code. Pour obtenir des informations supplémentaires, consultez le site Web de PHP, à l’adresse http://www.php.net.

    Référence CVE

    CVE-2011-1148

    CVE-2011-1657

    CVE-2011-1938

    CVE-2011-2202

    CVE-2011-2483

    CVE-2011-3182

    CVE-2011-3189

    CVE-2011-3267

    CVE-2011-3268

  • PHP

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion des polices type 1, par FreeType, présente un problème de corruption de mémoire. Ce problème est été résolu par la mise à jour de FreeType vers la version 2.4.7. Des informations supplémentaires sont disponibles sur le site de FreeType à l’adresse http://www.freetype.org/.

    Référence CVE

    CVE-2011-3256 : Apple.

  • PHP

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : vulnérabilités multiples dans la version 1.5.4 de libpng

    Description : la mise à jour 1.5.5 de libpng résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner l’exécution arbitraire de code. Des informations supplémentaires sont disponibles sur le site Web de libpng, à l’adresse http://www.libpng.org/pub/png/libpng.html.

    Référence CVE

    CVE-2011-3328

  • QuickTime

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’ouverture d’un fichier malveillant encodé en MP4 peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des fichiers encodés en MP4 présente un problème d’accès mémoire non initialisé.

    Référence CVE

    CVE-2011-3458 : Luigi Auriemma et pa_kt, en collaboration avec TippingPoint’s Zero Day Initiative.

  • QuickTime

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion des tables de polices incorporées dans les fichiers vidéo QuickTime présente un problème de signature.

    Référence CVE

    CVE-2011-3248 : Luigi Auriemma en collaboration avec Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion des atomes rdrf dans les fichiers vidéo QuickTime présente un problème de dépassement d’un octet de la mémoire tampon.

    Référence CVE

    CVE-2011-3459 : Luigi Auriemma en collaboration avec Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’affichage d’une image JPEG2000 malveillante peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des fichiers JPEG2000 présente un problème de dépassement de la mémoire tampon.

    Référence CVE

    CVE-2011-3250 : Luigi Auriemma en collaboration avec Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : le traitement d’une image PNG malveillante peut conduire à la fermeture inopinée de l’application ou à une exécution arbitraire de code.

    Description : la gestion des fichiers PNG présente un problème de dépassement de la mémoire tampon.

    Référence CVE

    CVE-2011-3460 : Luigi Auriemma en collaboration avec Zero Day Initiative de TippingPoint.

  • QuickTime

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion des fichiers vidéo encodés en FLC présente un problème de dépassement de la mémoire tampon.

    Référence CVE

    CVE-2011-3249 : Matt « j00ru » Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint.

  • SquirrelMail

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : vulnérabilités multiples dans SquirrelMail.

    Description : SquirrelMail est mis à jour vers la version 1.4.22 pour résoudre plusieurs vulnérabilités, la plus importante étant un problème d’attaque de script de site à site. Ce problème n’affecte pas les systèmes OS X Lion. Pour obtenir des informations supplémentaires, consultez le site Web de SquirrelMail à l’adresse http://www.SquirrelMail.org/.

    Référence CVE

    CVE-2010-1637

    CVE-2010-2813

    CVE-2010-4554

    CVE-2010-4555

    CVE-2011-2023

  • Subversion

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’accès à un dépôt Subversion peut entraîner la divulgation d’informations confidentielles.

    Description : la mise à jour 1.6.17 de Subversion résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner la divulgation d’informations confidentielles. Des informations supplémentaires sont disponibles sur le site Web de Subversion, à l’adresse http://subversion.apache.org/.

    Référence CVE

    CVE-2011-1752

    CVE-2011-1783

    CVE-2011-1921

  • Time Machine

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : il est possible qu’un attaquant à distance accède aux nouvelles sauvegardes créées par le système de l’utilisateur.

    Description : l’utilisateur peut désigner la Time Capsule ou le volume AFP à distance sur lequel les sauvegardes Time Machine sont enregistrées. Time Machine n’a pas vérifié que le même appareil a été utilisé pour les sauvegardes ultérieures. Ainsi, tout attaquant capable d’imiter le volume à distance peut accéder aux nouvelles sauvegardes créées par le système de l’utilisateur. Ce problème est résolu par la vérification de l’identifiant unique associé à un disque pour les opérations de sauvegarde.

    Référence CVE

    CVE-2011-3462 : Michael Roitzsch de la Technische Universität Dresden.

  • Tomcat

    Disponible pour : Mac OS X 10.6.8 et Mac OS X Server 10.6.8.

    Conséquence : vulnérabilités multiples dans Tomcat 6.0.32.

    Description : la mise à jour 6.0.33 de Tomcat résout plusieurs vulnérabilités, la plus importante étant susceptible d’entraîner la divulgation d’informations confidentielles. Tomcat est fourni uniquement sur les systèmes Mac OS X Server. Ce problème n’affecte pas les systèmes OS X Lion. Pour obtenir des informations supplémentaires, consultez le site de Tomcat à l’adresse http://tomcat.apache.org/.

    Référence CVE

    CVE-2011-2204

  • Partage WebDAV

    Disponible sous : OS X Lion Server 10.7 à 10.7.2.

    Conséquence : il est possible que des privilèges d’administrateur soient attribués aux utilisateurs locaux.

    Description : la gestion de l’identification des utilisateurs par WebDAV Sharing présente un problème. Il est possible que la présence d’un compte d’utilisateur valide sur le serveur ou qu’un de ses répertoires liés entraîne l’exécution arbitraire de code avec les privilèges système. Ce problème n’affecte pas les systèmes antérieurs à OS X Lion.

    Référence CVE

    CVE-2011-3463 : Gordon Davisson de Crywolf.

  • Webmail

    Disponible sous : OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’affichage d’un courrier électronique malveillant peut conduire à la divulgation du contenu de ce message.

    Description : la gestion des courriers électroniques présente une vulnérabilité aux attaques de script entre sites. Ce problème est résolu par la mise à jour de Roundcube Webmail avec la version 0.6. Il n’affecte pas les systèmes antérieurs à OS X Lion. Pour obtenir des informations supplémentaires, consultez le site Web de Roundcube à l’adresse http://trac.roundcube.net/.

    Référence CVE

    CVE-2011-2937

  • X11

    Disponible sous : Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 à 10.7.2 et OS X Lion Server 10.7 à 10.7.2.

    Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code.

    Description : la gestion de polices Type 1 par FreeType présente un problème de corruption de mémoire. Ce problème est résolu par la mise à jour de FreeType avec la version 2.4.7. Pour obtenir des informations supplémentaires, consultez le site Web de FreeType à l’adresse http://www.freetype.org/.

    Référence CVE

    CVE-2011-3256 : Apple.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: