À propos de Security Update 2006-008

This article has been archived and is no longer updated by Apple.

Ce document décrit Security Update 2006-008, qui peut être téléchargé et installé via les préférences Mise à jour de logiciels ou de Téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, consultez la page Securité produit d'Apple du site web d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Security Update 2006-008

  • QuickTime pour Java, Quartz Composer

    Références CVE : CVE-2006-5681

    Disponible pour : Mac OS X v10.4.8, Mac OS X Server v10.4.8

    Conséquences : la visite d’un site web construit de manière malveillante peut conduire à la divulgation d’informations

    Description : Des applets Java peuvent utiliser QuickTime pour Java pour récupérer les images rendues à l’écran par le biais d’objets QuickTime intégrés et les télécharger sur le site Web d’origine. Lorsque cette fonction est utilisée conjointement avec Quartz Composer, il devient possible de capturer des images pouvant contenir des informations locales. Cette mise à jour résout le problème en interdisant les compositions Quartz Composer dans les applets Java non signées. Ces compositions continuent de fonctionner au niveau local. Les applications et les applets Java signées utilisant QuickTime et QuickTime pour Java ne sont pas concernées. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Il ne concerne pas non plus la plate-forme Windows. Nous remercions Geoff Beier pour avoir signalé ce problème.

Published Date: 8 oct. 2016