À propos de Security Update 2006-004 pour Mac Pro

This article has been archived and is no longer updated by Apple.

Ce document décrit la mise à jour Security Update 2006-004 pour Mac Pro, qui peut être téléchargée et installée via les préférences Mise à jour de logiciels ou de Téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, consultez la page Sécurité produit du site web d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Security Update 2006-004 pour Mac Pro

La mise à jour Security Update 2006-004 est disponible depuis le 1er août. Elle est décrite dans le document suivant :
http://docs.info.apple.com/article.html?artnum=304063-fr

Les correctifs fournis par la mise à jour Security Update 2006-004 (disponible depuis le 1er août) sont contenues dans le produit Mac Pro récemment lancé, à l’exception de ceux mentionnés ci-dessous et concernant AppKit, ImageIO et OpenSSH. Les correctifs correspondants n’étaient pas complètement testés au moment de la fabrication du Mac Pro. Ils sont donc fournis spécifiquement pour le Mac Pro par le biais de cette mise à jour de sécurité spéciale.

Cette mise à jour est un sous-ensemble de la mise à jour Security Update 2006-004 disponible depuis le 1er août. Il n’est pas nécessaire de l’installer sur les systèmes sur lesquels la mise à jour Security Update 2006-004 (1er août) a déjà été installée.

Les correctifs de sécurité suivants sont fournis uniquement pour Mac Pro afin d’atteindre l’intégralité du niveau de sécurité offert par la mise à jour Security Update 2006-004.

  • AppKit, ImageIO

    Références CVE : CVE-2006-3459, CVE-2006-3461, CVE-2006-3462 et CVE-2006-3465

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.7, Mac OS X Server v10.4.7

    Conséquences : l’affichage d’une image TIFF construite de manière malveillante peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : Des dépassements de mémoire tampon ont été découverts dans la gestion de balises TIFF (CVE-2006-3459, CVE-2006-3465), le décodeur TIFF PixarLog (CVE-2006-3461) et le décodeur TIFF NeXT RLE (CVE-2006-3462). En construisant soigneusement une image corrompue au format TIFF, un attaquant peut déclencher un dépassement de mémoire tampon qui peut conduire à un blocage d’application ou à l’exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images TIFF. Les systèmes antérieurs à Mac OS X v10.4 ne sont touchés que par le problème de décodeur TIFF NeXT RLE (CVE-2006-3462). Nous remercions Tavis Ormandy de l’équipe sécurité de Google pour avoir signalé ce problème.

    Remarque : un cinquième problème découvert par Tavis Ormandy, CVE-2006-3460, ne concerne pas Mac OS X.

  • OpenSSH

    Références CVE : CVE-2006-0393

    Disponible pour : Mac OS X v10.4.7, Mac OS X Server v10.4.7

    Conséquences : Lorsque l’ouverture de session à distance est activée, un attaquant distant peut provoquer un déni de service ou déterminer l’existence d’un tel compte

    Description : La tentative d’ouverture de session sur un serveur OpenSSH (« Ouverture de session à distance ») à l’aide d’un compte inexistant provoque le blocage du processus d’authentification. Un attaquant pourrait exploiter ce comportement pour détecter l’existence d’un compte spécifique. Un grand nombre de telles tentatives peut conduire à un déni de service. Cette mise à jour résout le problème en gérant correctement les tentatives d’ouverture de session par des utilisateurs non existants. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Rob Middleton du Centenary Institute de Sidney en Australie pour avoir signalé ce problème.

Published Date: 7 oct. 2016