À propos de la mise à jour de sécurité 2006-003
Ce document décrit le contenu de la mise à jour de sécurité 2006-003, qui peut être téléchargée et installée à partir des préférences Mise à jour de logiciels ou de la page Téléchargements Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».
Mise à jour de sécurité 2006-003
AppKit
Référence CVE : CVE-2006-1439
Disponible pour : Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : les caractères saisis dans un champ de texte sécurisé peuvent être lus par d’autres applications dans la même session de fenêtre.
Description : lors du basculement entre des champs de saisie de texte, NSSecureTextField peut dans certains cas échouer à réactiver la saisie d’évènement sécurisée. Cela peut permettre à d’autres applications de la même session de fenêtre d’accéder à certains caractères saisis et évènements clavier. Cette mise à jour résout le problème par une vérification de l’activation correcte de la saisie d’évènements sécurisée. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4.
AppKit, ImageIO
Références CVE : CVE-2006-1982, CVE-2006-1983, CVE-2006-1984
Disponible pour : Mac OS X version 10.3.9, Mac OS X Server version 10.3.9, Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : l’affichage d’une image GIF ou TIFF malveillante peut entraîner l’exécution arbitraire de code.
Description : la gestion d’une image GIF ou TIFF non conforme peut entraîner l’exécution arbitraire de code lors de l’analyse d’une image malveillante. Ce problème concerne les applications qui utilisent le framework ImageIO (Mac OS X version 10.4 Tiger) ou AppKit (Mac OS X version 10.3 Panther) pour la lecture des images. Cette mise à jour corrige le problème en procédant à une validation supplémentaire des images GIF et TIFF.
BOM
Référence CVE : CVE-2006-1985
Disponible pour : Mac OS X version 10.3.9, Mac OS X Server version 10.3.9, Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : la décompression d’une archive peut entraîner l’exécution arbitraire de code.
Description : en concevant soigneusement une archive (telle qu’une archive Zip) contenant de longs noms de chemin d’accès, un attaquant peut déclencher un dépassement de tampon de tas dans BOM. Cela peut entraîner l’exécution arbitraire de code. BOM est utilisé pour la gestion des archives dans le Finder et d’autres applications. Cette mise à jour résout le problème par une gestion correcte des conditions aux limites.
BOM
Référence CVE : CVE-2006-1440
Disponible pour : Mac OS X version 10.3.9, Mac OS X Server version 10.3.9, Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : la décompression d’une archive malveillante peut entraîner la création ou l’écrasement de fichiers arbitraires.
Description : un problème dans la gestion des liens symboliques de traversée de répertoires rencontrés dans les archives peut entraîner la création ou l’écrasement de fichiers par BOM dans des emplacements arbitraires accessibles par l’utilisateur qui décompresse l’archive. BOM gère les archives pour le Finder et d’autres applications. Cette mise à jour résout le problème en s’assurant que les fichiers décompressés à partir d’une archive ne sont pas placés en dehors du répertoire de destination.
CFNetwork
Référence CVE : CVE-2006-1441
Disponible pour : Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : la consultation de sites web malveillants peut entraîner l’exécution arbitraire de code.
Description : un dépassement d’entier dans la gestion de l’encodage de transfert en bloc peut entraîner l’exécution arbitraire de code. CFNetwork est utilisé par Safari et d’autres applications. Cette mise à jour résout le problème en procédant à une validation supplémentaire. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X version 10.4.
ClamAV
Références CVE : CVE-2006-1614, CVE-2006-1615, CVE-2006-1630
Disponible pour : Mac OS X Server version 10.4.6
Conséquence : le traitement d’e-mails malveillants avec ClamAV peut entraîner l’exécution arbitraire de code.
Description : le logiciel de détection de virus ClamAV a été mis à jour pour appliquer des correctifs de sécurité à la dernière version. ClamAV a été intégré à Mac OS X Server version 10.4 pour l’analyse des e-mails. Le plus grave de ces problèmes peut entraîner l’exécution arbitraire de code avec les privilèges de ClamAV. Pour plus d’informations, consultez le site web du projet à l’adresse http://www.clamav.net.
CoreFoundation
Référence CVE : CVE-2006-1442
Disponible pour : Mac OS X version 10.3.9, Mac OS X Server version 10.3.9, Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : l’enregistrement d’un paquet non fiable peut entraîner l’exécution arbitraire de code.
Description : dans certains cas, les paquets sont enregistrés de manière implicite par le système ou des applications. Une fonctionnalité de l’API des paquets permet le chargement et l’exécution de bibliothèques dynamiques lors de l’enregistrement d’un paquet, même sans requête explicite de l’application cliente. En conséquence, un code arbitraire peut être exécuté à partir d’un paquet non fiable sans interaction explicite de la part de l’utilisateur. Cette mise à jour résout le problème en chargeant et en exécutant les bibliothèques du paquet uniquement au moment opportun.
CoreFoundation
Référence CVE : CVE-2006-1443
Disponible pour : Mac OS X version 10.3.9, Mac OS X Server version 10.3.9, Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : les conversions de chaînes en représentation du système de fichiers peuvent entraîner l’exécution arbitraire de code.
Description : un dépassement de la limite minimale d’entier pendant le traitement d’une condition aux limites dans CFStringGetFileSystemRepresentation peut entraîner l’exécution arbitraire de code. Les applications qui utilisent cette API ou l’une des API associées, telles que getFileSystemRepresentation:maxLength:withPath: de NSFileManager, peuvent déclencher le problème et entraîner l’exécution arbitraire de code. Cette mise à jour résout le problème par une gestion correcte des conditions aux limites.
CoreGraphics
Référence CVE : CVE-2006-1444
Disponible pour : Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : les caractères saisis dans un champ de texte sécurisé peuvent être lus par d’autres applications dans la même session de fenêtre.
Description : Quartz Event Services donne la possibilité aux applications d’observer et de modifier les évènements de saisie utilisateur de bas niveau. Normalement, les applications ne peuvent pas intercepter des évènements lorsque la saisie sécurisée est activée. Toutefois, si l’option « Activer l’accès pour les périphériques d’aide » est activée, Quartz Event Services peut être utilisé pour intercepter des évènements, même lorsque la saisie d’évènements sécurisée est activée. Cette mise à jour résout le problème en filtrant les évènements lorsque la saisie d’évènements sécurisée est activée. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X version 10.5. Nous remercions Damien Bobillot d’avoir signalé ce problème.
Finder
Référence CVE : CVE-2006-1448
Disponible pour : Mac OS X version 10.3.9, Mac OS X Server version 10.3.9, Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : le lancement d’un élément d’adresse Internet peut entraîner l’exécution arbitraire de code.
Description : les éléments d’adresse Internet sont de simples conteneurs d’URL qui peuvent faire référence à des URL de type http://, ftp:// et file://, ainsi que quelques autres schémas d’URL. Ces différents types d’éléments d’adresse Internet sont visuellement distincts et destinés à être lancés de manière sécurisée et explicite. Toutefois, le schéma de l’URL peut être différent du type de l’adresse Internet. En conséquence, un attaquant peut convaincre un utilisateur de lancer un élément soi-disant bénin (tel qu’une adresse Internet sur le Web, http://), alors qu’un autre schéma d’URL sera en fait utilisé. Dans certains cas, cela peut entraîner l’exécution arbitraire de code. Cette mise à jour résout ces problèmes en restreignant le schéma d’URL au type de l’adresse Internet.
FTPServer
Référence CVE : CVE-2006-1445
Disponible pour : Mac OS X version 10.3.9, Mac OS X Server version 10.3.9, Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : les opérations FTP d’utilisateurs FTP authentifiés peuvent entraîner l’exécution arbitraire de code.
Description : plusieurs problèmes dans la gestion des noms de chemin des serveurs FTP peuvent être à l’origine d’un dépassement de tampon. Un utilisateur authentifié malveillant peut déclencher ce dépassement, lequel peut entraîner l’exécution arbitraire de code avec les privilèges du serveur FTP. Cette mise à jour résout le problème par une gestion correcte des conditions aux limites.
Flash Player
Références CVE : CVE-2005-2628, CVE-2006-0024
Disponible pour : Mac OS X version 10.3.9, Mac OS X Server version 10.3.9, Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : la lecture d’un contenu Flash peut entraîner l’exécution arbitraire de code.
Description : Adobe Flash Player contient des failles critiques pouvant être à l’origine de l’exécution arbitraire de code lors du chargement de fichiers spécialement conçus à cet effet. De plus amples informations sont disponibles sur le site web Adobe à l’adresse http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. Cette mise à jour résout le problème en incorporant Flash Player version 8.0.24.0.
ImageIO
Référence CVE : CVE-2006-1552
Disponible pour : Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : l’affichage d’une image JPEG malveillante peut entraîner l’exécution arbitraire de code.
Description : un dépassement d’entier lors du traitement de métadonnées JPEG peut entraîner un dépassement de tampon de tas. En concevant soigneusement des métadonnées JPEG non conformes, un attaquant peut entraîner l’exécution arbitraire de code lors de l’affichage de l’image. Cette mise à jour résout le problème en procédant à une validation supplémentaire des images. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X version 10.4. Nous remercions Brent Simmons de NewsGator Technologies, Inc. d’avoir signalé ce problème.
Keychain
Référence CVE : CVE-2006-1446
Disponible pour : Mac OS X version 10.3.9, Mac OS X Server version 10.3.9, Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : une application peut utiliser des éléments du trousseau lorsque celui-ci est verrouillé.
Description : lorsqu’un trousseau est verrouillé, les applications ne peuvent pas accéder à ses éléments sans demander au préalable le déverrouillage du trousseau. Toutefois, une application ayant obtenu une référence à un élément du trousseau peut, dans certains cas, continuer à utiliser cet élément du trousseau, que celui-ci soit verrouillé ou non. Cette mise à jour résout le problème en refusant les demandes d’utilisation des éléments d’un trousseau verrouillé. Nous remercions Tobias Hahn de HU Berlin d’avoir signalé ce problème.
LaunchServices
Référence CVE : CVE-2006-1447
Disponible pour : Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : l’affichage d’un site web malveillant peut entraîner l’exécution arbitraire de code.
Description : les longues extensions de nom de fichier peuvent empêcher la fonctionnalité de validation des téléchargements de déterminer l’application avec laquelle un élément peut être ouvert. En conséquence, un attaquant peut contourner la fonctionnalité de validation des téléchargements et provoquer l’ouverture automatique par Safari d’un contenu non sécurisé si l’option « Ouvrir automatiquement les fichiers "fiables" » est activée et que certaines applications ne sont pas installées. Cette mise à jour résout le problème par une meilleure vérification des extensions de nom de fichier. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4.
libcurl
Référence CVE : CVE-2005-4077
Disponible pour : Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : la gestion des URL dans libcurl peut entraîner l’exécution arbitraire de code.
Description : la bibliothèque HTTP open source libcurl contient des dépassements de tampon dans la gestion des URL. Les applications qui utilisent curl pour la gestion des URL peuvent déclencher le problème et entraîner l’exécution arbitraire de code. Cette mise à jour résout le problème en incorporant libcurl version 7.15.1. Ce problème ne concerne par les systèmes antérieurs à Mac OS X version 10.4.
Mail
Référence CVE : CVE-2006-1449
Disponible pour : Mac OS X version 10.3.9, Mac OS X Server version 10.3.9, Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : l’affichage d’un e-mail malveillant peut entraîner l’exécution arbitraire de code.
Description : un attaquant peut déclencher un dépassement d’entier en préparant un e-mail spécifiquement à cet effet avec des pièces jointes encapsulées au format MacMIME. Cela peut entraîner l’exécution arbitraire de code avec les privilèges de l’utilisateur exécutant Mail. Cette mise à jour résout le problème en procédant à une validation supplémentaire des messages.
Mail
Référence CVE : CVE-2006-1450
Disponible pour : Mac OS X version 10.3.9, Mac OS X Server version 10.3.9, Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : l’affichage d’un e-mail malveillant peut entraîner l’exécution arbitraire de code.
Description : la gestion d’informations de couleur non valides dans les e-mails au format texte enrichi peut être à l’origine de l’allocation et de l’initialisation de classes arbitraires. Cela peut entraîner l’exécution arbitraire de code avec les privilèges de l’utilisateur exécutant Mail. Cette mise à jour résout le problème par une gestion correcte des données non conformes au format texte enrichi.
MySQL Manager
Référence CVE : CVE-2006-1451
Disponible pour : Mac OS X Server version 10.4.6
Conséquence : il est possible d’accéder à la base de données MySQL avec un mot de passe vide.
Description : pendant la configuration initiale d’un serveur de base de données MySQL à l’aide de MySQL Manager, le « nouveau mot de passe root MySQL » peut être fourni. Toutefois, ce mot de passe n’est pas réellement utilisé. En conséquence, le mot de passe root MySQL restera vide. Un utilisateur local peut alors obtenir l’accès à la base de données MySQL avec tous les privilèges. Cette mise à jour résout le problème en s’assurant que le mot de passe saisi est enregistré. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X Server version 10.4. Nous remercions Ben Low de l’université de Nouvelle-Galles du Sud d’avoir signalé ce problème.
Preview
Référence CVE : CVE-2006-1452
Disponible pour : Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : la navigation au sein d’une hiérarchie de répertoires malveillante peut entraîner l’exécution arbitraire de code.
Description : la navigation au sein de hiérarchies de répertoires très profondes dans Aperçu peut déclencher un dépassement de tampon de pile. En concevant avec soin une hiérarchie de répertoires de ce type, un attaquant peut être à l’origine de l’exécution arbitraire de code si les répertoires sont ouverts dans Aperçu. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4.
QuickDraw
Références CVE : CVE-2006-1453, CVE-2006-1454
Disponible pour : Mac OS X version 10.3.9, Mac OS X Server version 10.3.9, Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : l’affichage d’une image PICT malveillante peut entraîner l’exécution arbitraire de code.
Description : deux problèmes affectent QuickDraw lors du traitement d’images PICT. Des informations non valides relatives aux polices peuvent entraîner un dépassement de tampon de pile et des données d’image non conformes peuvent entraîner un dépassement de tampon de tas. En concevant une image PICT malveillante, un attaquant peut provoquer l’exécution arbitraire de code lorsque l’image est affichée. Cette mise à jour résout le problème en procédant à une validation supplémentaire des images PICT. Nous remercions Mike Price de McAfee AVERT Labs d’avoir signalé ce problème.
QuickTime Streaming Server
Référence CVE : CVE-2006-1455
Disponible pour : Mac OS X Server version 10.3.9, Mac OS X Server version 10.4.6
Conséquence : une séquence QuickTime non conforme peut provoquer le blocage de QuickTime Streaming Server.
Description : une séquence QuickTime dans laquelle une piste est manquante peut entraîner le déréférencement d’un pointeur null, provoquant un blocage du processus serveur. Ce problème entraîne l’interruption des connexions client actives. Toutefois, le serveur est redémarré automatiquement. Cette mise à jour résout le problème en affichant une erreur en présence de séquences non conformes.
QuickTime Streaming Server
Référence CVE : CVE-2006-1456
Disponible pour : Mac OS X Server version 10.3.9, Mac OS X Server version 10.4.6
Conséquence : des requêtes RTSP malveillantes peuvent entraîner des blocages ou l’exécution arbitraire de code.
Description : en concevant soigneusement une requête RTSP, un attaquant peut déclencher un dépassement de tampon lors de la journalisation des messages. Cela peut entraîner l’exécution arbitraire de code avec les privilèges de QuickTime Streaming Server. Cette mise à jour résout le problème par une gestion correcte des conditions aux limites. Nous remercions l’équipe de recherche de Mu Security d’avoir signalé ce problème.
Ruby
Référence CVE : CVE-2005-2337
Disponible pour : Mac OS X version 10.3.9, Mac OS X Server version 10.3.9, Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : les restrictions des niveaux de sécurité de Ruby peuvent être contournées.
Description : le langage de script de Ruby contient un mécanisme appelé « niveaux de sécurité » permettant de restreindre certaines opérations. Ce mécanisme est surtout mis en œuvre lors de l’exécution d’applications Ruby avec privilèges ou d’applications réseau Ruby. Dans certains cas, un attaquant peut contourner les restrictions dans les applications de ce type. Les applications qui ne dépendent pas des niveaux de sécurité ne sont pas concernées. Cette mise à jour résout le problème en s’assurant que les niveaux de sécurité ne peuvent pas être contournés.
Safari
Référence CVE : CVE-2006-1457
Disponible pour : Mac OS X version 10.4.6, Mac OS X Server version 10.4.6
Conséquence : la consultation de sites web malveillants peut entraîner une manipulation de fichiers ou l’exécution arbitraire de code.
Description : lorsque l’option « Ouvrir automatiquement les fichiers "fiables" » de Safari est activée, les archives sont décompressées automatiquement. Si une archive contient un lien symbolique, il est possible de déplacer le lien symbolique cible sur le bureau de l’utilisateur et de le lancer. Cette mise à jour résout le problème en ne résolvant pas les liens symboliques téléchargés. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.4.