À propos de Security Update 2005-008

This article has been archived and is no longer updated by Apple.

Ce document décrit Security Update 2005-008, qui peut être téléchargé et installé via les préférences Mise à jour de logiciels ou de Téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, rendez-vous sur la page Apple Product Security du site Web d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Security Update 2005-008

  • ImageIO

    Référence CVE : CAN-2005-2747

    Disponible pour : Mac OS X v10.4.2, Mac OS X Server v10.4.2

    Conséquences : l'affichage d'une image GIF construite de manière malveillante peut conduire à l'exécution de code quelconque.

    Description : en construisant soigneusement une image corrompue au format GIF, un attaquant peut déclencher un dépassement de mémoire tampon dans ImageIO, qui peut conduire à l'exécution de code quelconque. Plusieurs composants de Mac OS X utilisent ImageIO, en particulier WebCore et Safari. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images.

  • Mail

    Référence CVE : CAN-2005-2746

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.2, Mac OS X Server v10.4.2

    Conséquences : lors de l'utilisation des règles de réponse automatique, Mail.app peut exposer le contenu de messages chiffrés.

    Description : lors du traitement des règles de réponse automatique, Mail.app inclut le contenu des messages. Si un message en cours de traitement était chiffré, la réponse générée automatiquement incluait le contenu déchiffré du message. Ce comportement pouvait permettre à un attaquant d'intercepter le message. Cette mise à jour résout le problème en évitant la génération de réponses non chiffrées à des messages chiffrés. Nous remercions Norbert Rittel de Rittel Consulting pour avoir signalé ce problème.

  • Mail

    Référence CVE : CAN-2005-2745

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9

    Conséquences : l'utilisation par Mail.app de Kerberos Version 5 pour l'authentification SMTP peut divulguer des informations sensibles.

    Description : lorsque Mail.app utilise l'authentification SMTP avec Kerberos Version 5, de la mémoire non initialisée peut être ajoutée à un message. Cette mise à jour résout le problème en mettant Mail.app à jour. Nous remercions l'équipe Kerberos du MIT pour avoir signalé ce problème. Ce problème était résolut sous Mac OS X v10.4.2 par Security Update 2005-007.

  • malloc

    Référence CVE : CAN-2005-2748

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.2, Mac OS X Server v10.4.2

    Conséquences : une gestion de fichier non sécurisée peut conduire à une augmentation des autorisations locales.

    Description : lorsque certaines variables d'environnement sont configurées pour l'activation du débogage de l'allocation mémoire de l'application, des fichiers contenant des informations de diagnostic sont créés de manière non sécurisée. Ce comportement pouvait permettre à un utilisateur local malveillant de modifier des fichiers quelconques. Cette mise à jour résout le problème en interdisant le débogage d'allocation mémoire dans le programmes disposant de privilèges. Nous remercions Ilja van Sprundel de Suresec LTD pour avoir signalé ce problème.

  • QuickDraw Manager

    Référence CVE : CAN-2005-2744

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.2, Mac OS X Server v10.4.2

    Conséquences : l'affichage d'une image PICT construite de manière malveillante peut conduire à l'exécution de code quelconque.

    Description : en construisant soigneusement une image corrompue au format PICT, un attaquant peut déclencher un dépassement de mémoire tampon dans QuickDraw Manager, qui peut conduire à l'exécution de code quelconque. Plusieurs composants de Mac OS X utilisent QuickDraw Manager, en particulier Safari, Mail, et le Finder. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images. Nous remercions Henrik Dalgaard d'Echo One pour avoir signalé ce problème.

  • QuickTime pour Java

    Référence CVE : CAN-2005-2743

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9

    Conséquences : une applet non fiable pourrait obtenir des permissions élevées.

    Description : les extensions Java incorporées à QuickTime 6.52 et antérieur permettent à des applets non fiables d'appeler des fonctions quelconques à partir des bibliothèques système. Cette mise à jour résout le problème en limitant ce type d'appel aux applets fiables. Les systèmes exécutant QuickTime 7 ou ultérieur ne sont pas concernés pas ce problème. Les systèmes exécutant Mac OS X v10.4 ou ultérieur ne sont pas non plus concernés pas ce problème. Nous remercions Dino Dai Zovi pour avoir signalé ce problème.

  • Ruby

    Référence CVE : CAN-2005-1992

    Disponible pour : Mac OS X v10.4.2, Mac OS X Server v10.4.2

    Conséquences : les applications Ruby utilisant le module xmlrpc peuvent être vulnérables à l'exécution de code quelconque.

    Description : le module Ruby xmlrpc/utils utilise la méthode Module#public_instance_methods pour déterminer quelles méthodes peuvent être invoquées à distance à l'aide de XML-RPC. Une modification réalisée entre différentes versions de Ruby a provoqué de manière non intentionnelle l'inclusion dans cette liste de méthodes utilisables pour exécuter du code Ruby quelconque. Cette mise à jour résout le problème en mettant à jour le module xmlrpc/utils. Ce problème n'influe pas sur les versions de Mac OS X antérieures à 10.4.

  • Safari

    Référence CVE : CAN-2005-2524

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9

    Conséquences : des archives Web construites de manière malveillante pourraient potentiellement autoriser des scripts inter-sites.

    Description : il est possible dans Safari d'afficher des archives Web à partir de sites distants. Des archives Web construites de manière malveillantes peuvent être restituées sous forme de contenu à partir de sites ne les ayant pas produites. Cette mise à jour empêche le chargement d'archives Web distantes. Les archives Web Safari ont été intégrées à Safari 2.0. Ce problème était résolut sous Mac OS X v10.4.2 par Security Update 2005-007.

  • SecurityAgent

    Référence CVE : CAN-2005-2742

    Disponible pour : Mac OS X v10.4.2, Mac OS X Server v10.4.2

    Conséquences : un utilisateur disposant d'un accès physique au système peut être en mesure de passer outre le réglage « Mot de passe exigé après suspension d’activité ou lancement de l’économiseur d’écran ».

    Description : Dans certaines situations, le bouton « Changer d'utilisateur » peut apparaître même si le réglage « Activer la permutation rapide d’utilisateur » est désactivé. Ce comportement pouvait provoquer l'affichage du bureau de l'utilisateur connecté, sans authentification. Cette mise à jour empêche l'apparition du bouton « Changer d'utilisateur... » lorsqu'elle serait inappropriée. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Luke Fowler de Indiana University Global Research Network Operations Center pour avoir signalé ce problème.

  • securityd

    Référence CVE : CAN-2005-2741

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.2, Mac OS X Server v10.4.2

    Conséquences : des utilisateurs malveillants peuvent s'accorder le droit de manipuler des fichiers quelconques ou d'effectuer d'autres actions disposant de privilèges.

    Description : les services d'autorisation permettent aux utilisateurs ne disposant pas de privilèges d'accorder certains droits qui devraient être réservés aux administrateurs, ce qui peut conduire à une augmentation de privilèges. Cette mise à jour résout le problème en ajoutant des restrictions aux droits que peuvent s'accorder les utilisateurs ne disposant pas de privilèges.

Informations supplémentaires

Cette mise à jour comprend également les améliorations suivantes : LoginWindow intègre une meilleure interaction avec les contrôles parentaux (Mac OS X v10.3.9), X509Anchors comprend désormais le certificat racine de Wells Fargo (Mac OS X v10.3.9) et la sécurité du téléchargement comprend les archives Web (Mac OS X v10.4.2).

Published Date: 7 oct. 2016