À propos du contenu sécuritaire de la mise à jour Mac OS X 10.4.1

This article has been archived and is no longer updated by Apple.

Ce document décrit le contenu sécuritaire inclus dans la mise à jour Mac OS X 10.4.1, qui peut être téléchargée et installée grâce à l'option Mise à jour de logiciels ou depuis la page des Téléchargements de logiciels Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, rendez-vous sur la page Apple Product Security du site Web d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Mise à jour Mac OS X 10.4.1

  • Bluetooth

    Disponible pour : Mac OS X v10.4, Mac OS X Server v10.4

    Référence CVE : CAN-2005-1333

    Conséquences : parcours de répertoire par le biais d'échange de fichiers et d'objets Bluetooth

    Description : en raison d'une insuffisance de vérification de saisie, les services d'échange de fichiers et d'objets Bluetooth pouvaient être utilisés pour accéder à des fichiers situés hors du répertoire d'échange de fichiers par défaut. Cette mise à jour résout ce problème par l'ajout de filtres améliorés pour les caractères délimitant le chemin d'accès. Nous remercions kf_lists[at]digitalmunition[dot]com pour avoir signalé ce problème.

  • Dashboard

    Référence CVE : CAN-2005-1474

    Disponible pour : Mac OS X v10.4, Mac OS X Server v10.4

    Conséquences : des sites Web malveillants pouvaient télécharger et installer des gadgets par le biais de Safari sans avertissement relatif à la sécurité du téléchargement

    Description : cette mise à jour bloque l'installation automatique de gadgets Dashboard. L'avertissement de Mac OS X relatif à la sécurité du téléchargement est activé, ce qui rend obligatoire l'approbation de l'utilisateur avant que Safari ne puisse installer un gadget Dashboard. Ce problème n'influe pas sur les versions de Mac OS X antérieures à 10.4. Ce document présente d'autres renseignements sur la suppression des gadgets Dashboard que vous avez installés.

  • Noyau

    Référence CVE : CAN-2005-1472

    Disponible pour : Mac OS X v10.4, Mac OS X Server v10.4

    Conséquences : les utilisateurs pouvaient découvrir le nom de fichiers placés à des endroits où la recherche est normalement impossible.

    Description : deux appels système conçus pour permettre la recherche efficace d'objets du système de fichiers vérifiaient incorrectement les autorisations sur les répertoires conteneurs et révélaient le nom des fichiers. Cette vérification incorrecte ne se produisait que pour les répertoires dont le bit de lecture POSIX n'était pas défini mais celui d'exécution l'était, ce pour « groupe » et « autre ». Ce problème n'avait des conséquence pratique que sur les fichiers stockés dans les répertoires ~/Public/Drop Box des utilisateurs. Cette mise à jour résout le problème en respectant correctement les bits d'autorisation POSIX des répertoires. Nous remercions John M. Glenn (San Francisco) pour avoir signalé ce problème.

  • Noyau

    Disponible pour : Mac OS X v10.4, Mac OS X Server v10.4

    Référence CVE : CAN-2005-0974 CERT : VU#713614

    Conséquences : les utilisateurs du système local peuvent provoquer un refus de service local.

    Description : une vulnérabilité dans l'appel nfs_mount() due à des vérifications insuffisantes sur des valeurs en entrée peuvent permettre à des utilisateurs locaux ne disposant pas de privilège de créer un refus de service via une panique du noyau.

  • SecurityAgent

    Référence CVE : CAN-2005-1473

    Disponible pour : Mac OS X v10.4, Mac OS X Server v10.4

    Conséquences : les utilisateurs disposant d'un accès physique à un système doté d'un économiseur d'écran verrouillé pouvaient lancer des applications en arrière-plan.

    Description : une fonction des menus locaux de Mac OS X 10.4 permet d'ouvrir des URL à partir d'un champ de saisie de texte. Elle pouvait être utilisée pour lancer une application derrière la fenêtre d'un économiseur d'écran verrouillé. Cette mise à jour résout le problème par la suppression du menu local des champs de saisie de texte de l'économiseur d'écran.

Published Date: 7 oct. 2016