À propos du contenu sécuritaire de la mise à jour Mac OS X 10.3.9

This article has been archived and is no longer updated by Apple.

Ce document décrit le contenu sécuritaire inclus dans la mise à jour Mac OS X 10.3.9 qui peut être téléchargée et installée grâce à l'option Mise à jour de logiciels ou depuis la page des Téléchargements de logiciels Apple.

Dans un souci de protection de sa clientèle, Apple s’engage à ne pas divulguer, commenter ou confirmer les problèmes de sécurité tant qu’une enquête complète n’a pas été menée et que des correctifs ou d’autres versions ne sont pas disponibles. Pour en savoir plus sur la sécurité des produits Apple, rendez-vous sur la page Apple Product Security du site Web d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Contenu sécuritaire de la mise à jour Mac OS X 10.3.9

  • Noyau
    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9
    Référence CVE : CAN-2005-0969
    Conséquences : un problème de validation d'entrée du noyau peut conduire à un refus de service local.
    Description : le noyau comprend une fonctionnalité d'émulation syscall qui n'est pas utilisée dans Mac OS X. Une validation insuffisante d'une liste de paramètres d'entrée pourrait entraîner une saturation de segment et un refus de service local via une panique du noyau. Ce problème est résolu par la suppression de la fonctionnalité d'émulation syscall. Nous remercions Dino Dai Zovi pour avoir signalé ce problème.

  • Noyau
    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9
    Référence CVE : CAN-2005-0970
    Conséquences : possibilité d'installer des scripts SUID/SGID qui peuvent permettre une augmentation des privilèges.
    Description : Mac OS X a hérité de FreeBSD la capacité d'exécuter des scripts SUID/SGID. Apple ne distribue pas de script SUID/SGID mais le système permet leur installation ou leur création. Cette mise à jour supprime la capacité de Max OS X à exécuter des scripts SUID/SGID. Nous remercions Bruce Murphy (rattus.net) et Justin Walker pour avoir signalé ce problème.

  • Noyau
    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9
    Référence CVE : CAN-2005-0971 CERT : VU#212190
    Conséquences : une saturation de la pile du noyau dans l'appel système semop() pourrait conduire à une augmentation des privilèges locaux.
    Description : la gestion incorrecte des arguments d'appels système peut être utilisée pour augmenter des privilèges. Cette mise à jour comprend un correctif permettant de vérifier l'accès à l'objet noyau.

  • Noyau
    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9
    Référence CVE : CAN-2005-0972 CERT : VU#185702
    Conséquences : un dépassement de capacité pour un entier au sein de l'appel système searchfs() pourrait permettre à un utilisateur local ne disposant pas de privilège d'exécuter du code arbitraire avec des privilèges élevés.
    Description : l'appel système searchfs() peut contenir une vulnérabilité de dépassement de capacité d'un entier qui peut permettre à un utilisateur local ne disposant pas de privilège d'exécuter du code arbitraire avec des privilèges élevés. Afin de résoudre ce problème, cette mise à jour ajoute une validation d'entrée sur les paramètres passés à searchfs().

  • Noyau
    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9
    Référence CVE : CAN-2005-0973
    Conséquences : les utilisateurs du système local peuvent saturer les ressources du système.
    Description : une vulnérabilité dans la gestion des valeurs passées à l'appel setsockopt() peut permettre à des utilisateurs locaux ne disposant pas de privilège de saturer la mémoire disponible. Nous remercions Robert Stump (rds3792@cs.rit.com) pour avoir signalé ce problème.

  • Noyau
    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9
    Référence CVE : CAN-2005-0974 CERT : VU#713614
    Conséquences : les utilisateurs du système local peuvent provoquer un refus de service local.
    Description : une vulnérabilité dans l'appel nfs_mount() due à des vérifications insuffisantes sur des valeurs en entrée peuvent permettre à des utilisateurs locaux ne disposant pas de privilège de créer un refus de service via une panique du noyau.

  • Noyau
    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9
    Référence CVE : CAN-2005-0975
    Conséquences : les utilisateurs du système local peuvent interrompre temporairement le fonctionnement du système.
    Description : une vulnérabilité dans l'analyse de certains fichiers exécutables pourrait permettre à des utilisateurs locaux ne disposant pas de privilège d'interrompre temporairement le fonctionnement du système. Nous remercions Neil Archibald pour avoir signalé ce problème.

  • Safari
    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9
    Référence CVE : CAN-2005-0976
    Conséquences : des sites distants pourraient provoquer l'exécution de HTML et de Javascript dans le domaine local.
    Description : cette mise à jour élimine une vulnérabilité qui permettait à des sites Web distants de charger du code Javascript à exécuter dans le domaine local. Nous remercions David Remahl pour avoir signalé ce problème.
Published Date: 11 oct. 2016