Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
La mise à jour liée peut être téléchargée et installée via Mise à jour logicielle ou à partir de la page Téléchargements du site d’assistance Apple.
OS X Mavericks 10.9.2 et mise à jour de sécurité 2014-001
- 

- 

Apache

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : Apache présente plusieurs vulnérabilités.

Description : plusieurs vulnérabilités existaient dans Apache, la plus importante pouvant provoquer un scriptage intersite. Ces problèmes ont été résolus par la mise à jour d’Apache vers la version 2.2.26.

Référence CVE

CVE-2013-1862

CVE-2013-1896

 

- 

- 

Applications sandboxées

Disponible pour : OS X Mountain Lion 10.8.5.

Conséquence : le sandboxing d’applications peut être évité.

Description : l’interface LaunchServices, permettant de lancer une application, autorisait les applications sandboxées à déterminer la liste d’arguments à transmettre au nouveau processus. Une application sandboxée compromise pouvait tirer profit de cette situation pour contourner le processus de sandboxing. Ce problème a été résolu en empêchant les applications sandboxées de définir des arguments. Ce problème n’affecte pas les systèmes exécutant OS X Mavericks 10.9 ou version ultérieure.

Référence CVE

CVE-2013-5179 : Friedrich Graeter de The Soulmen GbR.

 

- 

- 

ATS

Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : l’affichage ou le téléchargement d’un document contenant une police malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire existait au niveau de la gestion des polices de type 1. Ce problème a été résolu par une meilleure vérification des limites.

Référence CVE

CVE-2014-1254 : Felix Groebert de l’équipe de sécurité de Google.

 

- 

- 

ATS

Disponible pour : OS X Mavericks 10.9 et 10.9.1.

Conséquence : le sandboxing d’applications peut être évité.

Description : un problème de corruption de la mémoire existait au niveau de la gestion des messages Mach transmis à ATS. Ce problème a été résolu par une meilleure vérification des limites.

Référence CVE

CVE-2014-1262 : Meder Kydyraliev de l’équipe de sécurité de Google.

 

- 

- 

ATS

Disponible pour : OS X Mavericks 10.9 et 10.9.1.

Conséquence : le sandboxing d’applications peut être évité.

Description : un problème arbitraire existait au niveau de la gestion des messages Mach transmis à ATS. Ce problème a été résolu par une validation supplémentaire des messages Mach.

Référence CVE

CVE-2014-1255 : Meder Kydyraliev de l’équipe de sécurité de Google.

 

- 

- 

ATS

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : le sandboxing d’applications peut être évité.

Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des messages Mach transmis à ATS. Ce problème a été résolu par une vérification supplémentaire des limites.

Référence CVE

CVE-2014-1256 : Meder Kydyraliev de l’équipe de sécurité de Google.

 

- 

- 

Politique de fiabilité des certificats

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : des certificats racines ont été mis à jour.

Description : l’ensemble des certificats racine système a été mis à jour. L’application Trousseau d’accès permet de consulter la liste complète des certificats racine système reconnus.

 

- 

- 

Cookies CFNetwork

Disponible pour : OS X Mountain Lion 10.8.5.

Conséquence : les cookies de session peuvent ne pas être supprimés après la réinitialisation de Safari.

Description : la réinitialisation de Safari ne permettait pas toujours de supprimer les cookies de session tant que le navigateur n’était pas fermé. Ce problème a été résolu par une meilleure gestion des cookies de session. Ce problème n’affecte pas les systèmes exécutant OS X Mavericks 10.9 ou version ultérieure.

Référence CVE

CVE-2014-1257 : Rob Ansaldo du Amherst College, Graham Bennett.

 

- 

- 

CoreAnimation

Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : la consultation d’un site malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des images par CoreAnimation. Ce problème a été résolu par une meilleure vérification des limites.

Référence CVE

CVE-2014-1258 : Karl Smith de NCC Group.

 

- 

- 

CoreText

Disponible pour : OS X Mavericks 10.9 et 10.9.1.

Conséquence : les applications utilisant CoreText peuvent être exposées à une fermeture inopinée ou à l’exécution arbitraire de code.

Description : un problème de signature existait dans CoreText, au niveau de la gestion des polices Unicode. Ce problème est résolu par une meilleure vérification des limites.

Référence CVE

CVE-2014-1261 : Lucas Apa et Carlos Mario Penagos d’IOActive Labs.

 

- 

- 

cURL

Disponible pour : OS X Mavericks 10.9 et 10.9.1.

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter les identifiants de l’utilisateur ou d’autres données sensibles.

Description : lors de l’utilisation de curl pour se connecter à une URL HTTPS incluant une adresse IP, cette dernière n’était pas validée à l’aide du certificat. Ce problème n’affecte pas les systèmes antérieurs à OS X Mavericks 10.9.

Référence CVE

CVE-2014-1263 : Roland Moriz de Moriz GmbH.

 

- 

- 

Sécurité des données

Disponible pour : OS X Mavericks 10.9 et 10.9.1.

Conséquence : un attaquant disposant d’une position privilégiée sur le réseau peut capturer ou modifier des données dans les sessions protégées par les protocoles SSL et TLS.

Description : Secure Transport ne parvenait pas à valider l’authenticité de la connexion. Ce problème a été résolu par la restauration des étapes de validation manquantes.

Référence CVE

CVE-2014-1266

 

- 

- 

Date et heure

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : un utilisateur ne disposant pas des privilèges appropriés peut modifier l’horloge système.

Description : le fonctionnement de la commande suivante est différent :
systemsetup
Ainsi, des privilèges administrateur sont toujours requis pour modifier l’horloge système.
Référence CVE

CVE-2014-1265

 

- 

- 

Nom de fichier

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : l’affichage d’un fichier au nom douteux peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des noms de fichier. Ce problème a été résolu par une meilleure vérification des limites.

Référence CVE

CVE-2014-1259

 

- 

- 

Finder

Disponible pour : OS X Mavericks 10.9 et 10.9.1.

Conséquence : le fait d’accéder à la liste de contrôle d’accès d’un fichier via le Finder peut permettre à d’autres utilisateurs d’accéder à des fichiers de manière non autorisée.

Description : l’accès à la liste de contrôle d’accès d’un fichier via le Finder pouvait endommager celle-ci. Ce problème a été résolu par une gestion améliorée des listes de contrôle d’accès.

Référence CVE

CVE-2014-1264

 

- 

- 

ImageIO

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : la lecture d’un fichier JPEG malveillant peut entraîner la divulgation du contenu de la mémoire.

Description : un problème d’accès à la mémoire non initialisée existait au niveau de la gestion, par libjpeg, des marqueurs JPEG, ce qui entraînait alors la divulgation du contenu de la mémoire. Ce problème a été résolu par une meilleure gestion des fichiers JPEG.

Référence CVE

CVE-2013-6629 : Michal Zalewski.

 

- 

- 

IOSerialFamily

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5.

Conséquence : l’exécution d’une application malveillante peut entraîner une exécution arbitraire de code au niveau du noyau.

Description : l’accès à un tableau hors limites se produisait avec le gestionnaire IOSerialFamily. Ce problème a été résolu par une vérification supplémentaire des limites. Ce problème n’affecte pas les systèmes exécutant OS X Mavericks 10.9 ou version ultérieure.

Référence CVE

CVE-2013-5139 : @dent1zt.

 

- 

- 

LaunchServices

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5.

Conséquence : un fichier peut comporter une extension incorrecte.

Description : un problème existait au niveau de la gestion de certains caractères Unicode, ce qui pouvait entraîner l’affichage d’extensions incorrectes dans certains noms de fichier. Ce problème a été résolu en empêchant l’affichage de caractères Unicode non sécurisés dans les noms de fichiers. Ce problème n’affecte pas les systèmes exécutant OS X Mavericks 10.9 ou version ultérieure.

Référence CVE

CVE-2013-5178 : Jesse Ruderman de Mozilla Corporation, Stephane Sudre d’Intego.

 

- 

- 

Gestionnaires NVIDIA

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : l’exécution d’une application malveillante peut entraîner une exécution arbitraire de code au niveau de la carte graphique.

Description : un problème permettait de modifier les données de mémoire fiables. Ce problème a été résolu en empêchant l’hôte de procéder à une écriture sur cette mémoire.

Référence CVE

CVE-2013-5986 : Marcin Kościelnicki dans le cadre du projet Nouveau de la X.Org Foundation.

CVE-2013-5987 : Marcin Kościelnicki dans le cadre du projet Nouveau de la X.Org Foundation.

 

- 

- 

PHP

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : PHP présente plusieurs vulnérabilités.

Description : PHP présentait plusieurs vulnérabilités, la plus grave étant susceptible d’entraîner une exécution arbitraire de code. Ces problèmes ont été résolus par la mise à jour de PHP vers la version 5.4.24 sous OS X Mavericks 10.9, et la version 5.3.28 sous OS X Lion et Mountain Lion.

Référence CVE

CVE-2013-4073

CVE-2013-4113

CVE-2013-4248

CVE-2013-6420

 

- 

- 

QuickLook

Disponible pour : OS X Mountain Lion 10.8.5.

Conséquence : le téléchargement d’un fichier Microsoft Office malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire existait au niveau de la gestion, par QuickLook, des fichiers Microsoft Office. Conséquence : le téléchargement d’un fichier Microsoft Office malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Ce problème n’affecte pas les systèmes exécutant OS X Mavericks 10.9 ou version ultérieure.

Référence CVE

CVE-2014-1260 : Felix Groebert de l’équipe de sécurité de Google.

 

- 

- 

QuickLook

Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : le téléchargement d’un fichier Microsoft Office malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : il existait un problème au niveau de la gestion des fichiers Microsoft Word par QuickLooks. Ce problème a été résolu par une meilleure gestion de la mémoire.

Référence CVE

CVE-2014-1252 : Felix Groebert de l’équipe de sécurité de Google.

 

- 

- 

QuickTime

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des atomes « ftab ». Ce problème a été résolu par une meilleure vérification des limites.

Référence CVE

CVE-2014-1246 : chercheur anonyme en collaboration avec le programme Zero Day Initiative de HP.

 

- 

- 

QuickTime

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire existait au niveau de la gestion des atomes « dref ». Ce problème a été résolu par une meilleure vérification des limites.

Référence CVE

CVE-2014-1247 : Tom Gallagher et Paul Bates en collaboration avec le programme Zero Day Initiative d’HP.

 

- 

- 

QuickTime

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des atomes « ldat ». Ce problème a été résolu par une meilleure vérification des limites.

Référence CVE

CVE-2014-1248 : Jason Kratzer en collaboration avec iDefense VCP.

 

- 

- 

QuickTime

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : l’affichage d’une image PSD construite de manière malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des images PSD. Ce problème a été résolu par une meilleure vérification des limites.

Référence CVE

CVE-2014-1249 : dragonltx de l’équipe de sécurité de Tencent.

 

- 

- 

QuickTime

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : un problème d’inversion d’octets hors limites existait au niveau de la gestion des éléments « ttfo ». Ce problème a été résolu par une meilleure vérification des limites.

Référence CVE

CVE-2014-1250 : Jason Kratzer en collaboration avec iDefense VCP.

 

- 

- 

QuickTime

Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 et 10.9.1.

Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : un problème de signature existait au niveau de la gestion des atomes « stsz ». Ce problème a été résolu par une meilleure vérification des limites.

Référence CVE

CVE-2014-1245 : Tom Gallagher et Paul Bates en collaboration avec le programme Zero Day Initiative d’HP.

 

- 

- 

Secure Transport

Disponible pour : OS X Mountain Lion 10.8.5.

Conséquence : un attaquant peut être en mesure de déchiffrer des données protégées par le protocole SSL.

Description : la confidentialité des protocoles SSL 3.0 et TLS 1.0 était sujette à des attaques lorsqu’une suite de chiffrement utilisait un chiffrement de bloc en mode CBC. Pour remédier à ces problèmes avec les applications utilisant Secure Transport, la reproduction de fragments à un octet a été activée par défaut pour cette configuration.

 
Référence CVE

CVE-2011-3389 : Juliano Rizzo et Thai Duong.