À propos de la Security Update 2006-002

This article has been archived and is no longer updated by Apple.

Ce document décrit la mise à jour Security Update 2006-002, qui peut être téléchargée et installée via les préférences Mise à jour de logiciels ou de Téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, consultez la page Sécurité produit du site Web d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Remarque : Security Update 2006-002 v1.1 est parue afin de résoudre un problème dans lequel Safari ne serait pas mise à jour si elle a été déplacée dans un dossier autre que le dossier d'origine, c'est à dire /Applications. Veuillez suivre les instructions dans cet article si Safari ne se trouve pas dans le dossier /Applications.

Si Safari se trouve dans le dossier /Applications, l'installation de Security Update 2006-002 suffit et il n'y a pas besoin d'installer Security Update 2006-002 v1.1.

À propos de Security Update 2006-002

  • CoreTypes

    Références CVE : CVE-2006-0400

    Disponible pour : Mac OS X v10.4.5, Mac OS X Server v10.4.5

    Conséquences : les sites web distants peuvent conduire JavaScript à ignorer la règle d'origine commune

    Description : lorsque des documents contenant du code JavaScript sont chargés à partir d'un site distant, l'accès aux données est restreint par la règle d'origine commune. Cependant, dans certains cas, des archives construites de manière malveillante peuvent contourner ces restrictions.  Cette mise à jour résout le problème en indiquant que ces documents ne sont pas fiables.

  • Mail

    Références CVE : CVE-2006-0396

    Disponible pour : Mac OS X v10.4.5, Mac OS X Server v10.4.5

    Conséquences : double-cliquer sur une pièce jointe dans Mail peut conduire à l'exécution de code quelconque

    Description : en préparant de manière malveillante un message électronique doté d'une pièce jointe et en incitant un utilisateur à double-cliquer sur la pièce en question au sein de Mail, un attaquant peut provoquer un dépassement de mémoire tampon.  Cela pouvait conduire à l'exécution de code quelconque avec les privilèges de l'utilisateur exécutant Mail. Cette mise à jour résout le problème en implémentant des vérifications de limites supplémentaires. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Kevin Finisterre de DigitalMunition pour avoir signalé ce problème.

  • Safari, LaunchServices, CoreTypes

    Références CVE : CVE-2006-0397, CVE-2006-0398, CVE-2006-0399

    Disponible pour : Mac OS X v10.4.5, Mac OS X Server v10.4.5

    Conséquences : l'affichage d'un site web construit de manière malveillante peut conduire à l'exécution de code quelconque

    Description : Security Update 2006-001 résolvait un problème en raison duquel Safari pouvait automatiquement ouvrir un fichier dont le type semble fiable, par exemple une image ou un film, alors qu'il s'agit en fait d'une application.  Cette mise à jour fournit des vérifications supplémentaires permettant d'identifier des variantes des types de fichiers malveillants qui ne sont désormais pas automatiquement ouverts.  Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Will Dormann du CERT/CC et Andris Baumberger pour avoir signalé ce problème.

Cette mise à jour résout également les problèmes suivants, qui ne sont pas liés à la sécurité et ont été introduits par Security Update 2006-001 :

  • Validation du téléchargement : Security Update 2006-001 pouvait provoquer l'avertissement de l'utilisateur en présence de certains types de fichiers fiables, notamment des documents Word, et de dossiers contenant des icônes personnalisées. Ces avertissements non nécessaires sont supprimés par cette mise à jour.

  • apache_mod_php : une régression de PHP 4.4.1 qui pouvait empêcher le fonctionnement de SquirrelMail est corrigée par cette mise à jour.

  • rsync : une régression de rsync qui empêchait l'option de ligne de commande « --delete » de fonctionner correctement est corrigée par cette mise à jour.

Published Date: 7 oct. 2016