A propos de Security Update 2005-001 pour Mac OS X

This article has been archived and is no longer updated by Apple.

Ce document fournit une description de la mise à jour de sécurité 2005-001, qu’il est possible de télécharger et d’installer grâce à l’option Mise à jour de logiciels dans les Préférences Système ou depuis la page des Téléchargements de logiciels Apple.

Dans un souci de protection de sa clientèle, Apple s’engage à ne pas divulguer, commenter ou confirmer les problèmes de sécurité tant qu’une enquête complète n’a pas été menée et que des correctifs ou d’autres versions ne sont pas disponibles. Pour en savoir plus sur la sécurité des produits Apple, rendez-vous sur la page Apple Product Security du site Web d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article "Comment utiliser la clé PGP de sécurité des produits Apple."

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article "Mises à jour de sécurité Apple."

Mise à jour de sécurité 2005-001

  • Composant : commandes “at”
    Disponible pour : Mac OS X v10.3.7, Mac OS X Server v10.3.7
    Référence CVE : CAN-2005-0125
    Conséquences : met à jour les commandes “ at ” pour résoudre un problème lié aux privilèges locaux
    Description : la famille de commandes “ at ” ne permettait pas de modifier des privilèges de façon opportune. Un utilisateur local pouvait ainsi supprimer des fichiers ne lui appartenant pas, exécuter des programmes avec des privilèges étendus ou lire le contenu de fichiers en principe non lisibles. Cette mise à jour permet de corriger les erreurs associées aux commandes at, atrm, batch, atq et atrun. Merci à kf_lists[at]digitalmunition[dot]com d’avoir signalé ce problème.

  • Composant : ColorSync
    Disponible pour : Mac OS X v10.3.7, Mac OS X Server v10.3.7, Mac OS X v10.2.8, Mac OS X Server v10.2.8
    Référence CVE : CAN-2005-0126
    Conséquences : des profils colorimétriques ICC incorrects étaient susceptibles de supprimer le tas du programme, entraînant l’exécution d’un code arbitraire.
    Description : un profil colorimétrique ICC de type “ OOS ” (out-of-specification) ou mal intégré pouvait supprimer le tas du programme et entraîner l’exécution d’un code arbitraire. Il n’existe aucune solution connue pour ce problème. Cette mise à jour va permettre à ColorSync de rejeter les profils colorimétriques ICC incorrects.

  • Composant : libxml2
    Disponible pour : Mac OS X v10.3.7, Mac OS X Server v10.3.7
    Référence CVE : CAN-2004-0989
    Conséquences : la bibliothèque libxml2 contient du code non sécurisé susceptible d’être exploité par les applications y faisant appel.
    Description : cette mise à jour corrige les erreurs liées à plusieurs fonctions de la bibliothèque libxml2 ayant été identifiées comme non sécurisées en raison de débordements de la mémoire tampon.

  • Composant : Mail
    Disponible pour : Mac OS X v10.3.7 Client, Mac OS X Server v10.3.7
    Référence CVE : CAN-2005-0127
    Conséquences : des e-mails envoyés depuis un ordinateur unique peuvent être identifiés
    Description : Un GUUID contenant un identifiant associé au matériel réseau Ethernet était utilisé dans la construction d’un en-tête d’ID de message RFC-822 requis. Mail masque désormais ces informations en calculant l’ID de message à l’aide d’une fonction de hachage cryptographique du GUUID concaténé avec des données issues de /dev/random. Merci à Carl Purvis d'avoir signalé ce problème.

  • Composant : PHP
    Disponible pour : Mac OS X v10.3.7, Mac OS X Server v10.3.7, Mac OS X v10.2.8, Mac OS X Server v10.2.8
    Référence CVE : CAN-2003-0860, CAN-2003-0863, CAN-2004-0594, CAN-2004-0595, CAN-2004-1018, CAN-2004-1019, CAN-2004-1020, CAN-2004-1063, CAN-2004-1064, CAN-2004-1065
    Conséquences : nombreuses vulnérabilités dans PHP, dont le déni de service à distance et l’exécution d’un code arbitraire
    Description : la mise à jour 4.3.10 de PHP corrige plusieurs problèmes. La mise à jour 4.3.10 de PHP est décrite à l’adresse http://www.php.net/release_4_3_10.php.

  • Composant : Safari
    Disponible pour : Mac OS X v10.3.7, Mac OS X Server v10.3.7, Mac OS X v10.2.8, Mac OS X Server v10.2.8
    Référence CVE : CAN-2004-1314
    Conséquences : Si la fonction de blocage des fenêtres intempestives de Safari n’est pas activée, une fenêtre indésirable risque de s’afficher comme provenant d’un site sécurisé.
    Description : si la fonction de blocage des fenêtres intempestives est activée, ce problème ne se produit pas. Si cette fonction n’est pas activée, un utilisateur peut être induit en erreur quant au contenu d’une fenêtre intempestive s’il a utilisé un lien non sécurisé pour accéder à un site qu’il souhaite visualiser. Cette mise à jour corrige le problème quel que soit l’état d’activation de la fonction de blocage des fenêtres intempestives. Merci à Secunia Research d'avoir signalé ce problème.

  • Composant : SquirrelMail
    Disponible pour : Mac OS X Server 10.3.7
    Référence CVE : CAN-2004-1036
    Conséquences : la mise à jour de SquirrelMail permet de résoudre un problème de vulnérabilité des scripts HTML
    Description : un problème de vulnérabilité des scripts HTML dans SquirrelMail permettait la présence dans des e-mails de contenu pouvant être affiché dans le navigateur Web d’un utilisateur. La mise à jour de SquirrelMail corrige ce problème. Pour plus d’informations, consultez le site Web de SquirrelMail à l’adresse : http://www.squirrelmail.org/.

Important : les informations sur les produits non conçus par Apple sont fournies pour référence uniquement et ne constituent en aucun cas une recommandation ou une approbation d’Apple. Veuillez contacter le fabricant pour de plus amples informations.

Important : les mentions de sites Web et de produits tiers sont indiquées à titre purement indicatif et ne constituent en aucun cas une recommandation ou une approbation de la part d’Apple. Apple n’est en aucun cas responsable quant à la sélection, aux performances et à l’utilisation des informations ou des produits se trouvant sur le site Web d’une société tierce. Apple fournit ces informations dans un souci de confort pour ses utilisateurs. Apple n’a pas vérifié les informations figurant sur ces sites et ne se porte nullement garant de leur fiabilité ou de leur exactitude. L’utilisation d’informations ou de produits trouvés sur Internet comporte certains risques ; Apple ne saurait en être tenue responsable. Nous aimerions porter votre attention sur le fait qu’un site tiers ne dépend pas d’Apple et qu’Apple n’a aucun contrôle sur le contenu de ce site Web.

Published Date: 8 oct. 2016