À propos de Security Update 2007-002

This article has been archived and is no longer updated by Apple.

Ce document décrit la mise à jour Security Update 2007-002, qui peut être téléchargée et installée via les préférences Mise à jour de logiciels ou de Téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, consultez la page Sécurité produit d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

À propos de Security Update 2007-002

  • Finder

    Références CVE : CVE-2007-0197

    Disponible pour : Mac OS X v10.4.8, Mac OS X Server v10.4.8

    Conséquences : le montage d’une image disque construite de manière malveillante peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : il existe un dépassement de mémoire tampon au niveau de la gestion par le Finder des noms de volumes. En poussant un utilisateur à monter une image disque construite de manière malveillante, un attaquant peut déclencher ce problème, qui peut conduire à un blocage d’application ou à l’exécution de code quelconque. Une démonstration de l’existence de ce problème a été publiée sur le site Web « Month of Apple Bugs » (MOAB-09-01-2007). Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images disque. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Kevin Finisterre de DigitalMunition pour avoir signalé ce problème.

  • iChat

    Références CVE : CVE-2007-0614, CVE-2007-0710

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.8, Mac OS X Server v10.4.8

    Conséquences : un attaquant sur le réseau local peut provoquer un blocage d’iChat

    Description : le déréférencement d’un pointeur NULL dans la gestion des messages Bonjour d’iChat peut permettre à un attaquant sur le réseau local de provoquer le blocage d’une application. Une démonstration de l’existence de ce problème dans Mac OS X v10.4 a été publiée sur le site Web « Month of Apple Bugs » (MOAB-29-01-2007). Un problème similaire existe dans Mac OS X v10.3. Cette mise à jour résout les problèmes en réalisant des validations supplémentaires sur les messages Bonjour.

  • iChat

    Références CVE : CVE-2007-0021

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.8, Mac OS X Server v10.4.8

    Conséquences : la consultation de sites Web malveillants peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : il existe une vulnérabilité de chaîne de format dans le gestionnaire d’URL d’iChat AIM. En poussant un utilisateur à accéder à une URL AIM construite de manière malveillante, un attaquant peut déclencher le dépassement, qui peut conduire à un blocage d’application ou à l’exécution de code quelconque. Une démonstration de l’existence de ce problème a été publiée sur le site Web « Month of Apple Bugs » (MOAB-20-01-2007). Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les URL AIM.

  • UserNotification

    Références CVE : CVE-2007-0023

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.8, Mac OS X Server v10.4.8

    Conséquences : un utilisateur local malveillant peut obtenir des permissions système

    Description : le processus UserNotificationCenter s’exécute avec une augmentation des permissions dans le contexte d’un utilisateur local. Cela peut permettre à un utilisateur local malveillant d’écraser ou de modifier des fichiers système. Un programme déclenchant ce problème a été publié sur le site Web « Month of Apple Bugs » (MOAB-22-01-2007). Cette mise à jour résout le problème en faisant perdre à UserNotificationCenter ses autorisations de groupe directement après le lancement.

 

Important : les mentions de sites Web et de produits tiers ne sont données qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet, et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Published Date: 10 oct. 2016