À propos du contenu sécuritaire de Mac OS X 10.4.9 et de la mise à jour Security Update 2007-003

This article has been archived and is no longer updated by Apple.

Ce document décrit le contenu sécuritaire de Mac OS X 10.4.9 et de la mise à jour Security Update 2007-003, qui peut être téléchargée et installée via les préférences Mise à jour de logiciels ou les Téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, consultez la page Sécurité produit d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

À propos de l’installation

Mise à jour de logiciels affiche la mise à jour qui s’applique à la configuration de votre système. Une seule est nécessaire. Security Update 2007-003 s’installe sur les systèmes Mac OS X v10.3.9 et Mac OS X Server v10.3.9.

Mac OS X v10.4.9 contient des correctifs sécuritaires présents dans Security Update 2007-003 et s’installe sur Mac OS X v10.4 ou ultérieur, ainsi que sur Mac OS X Server v10.4 ou les systèmes ultérieurs.

Security Update 2007-003 / Mac OS X v10.4.9

  • ColorSync

    Références CVE : CVE-2007-0719

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : l’affichage d’une image construite de manière malveillante avec un profil ColorSync associé peut conduire à un arrêt inopiné de l’application ou à l’exécution de code quelconque.

    Description : il existe un dépassement de mémoire tampon de la pile dans la gestion des profils ColorSync associés. En poussant un utilisateur à ouvrir une image construite de manière malveillante, un attaquant peut déclencher le dépassement, qui peut conduire à un blocage inattendu d’une application ou à l’exécution d’un code quelconque. Cette mise à jour résout le problème en réalisant une validation supplémentaire sur les profils ColorSync. Nous remercions Tom Ferris de Security-Protocols pour avoir signalé ce problème.

  • CoreGraphics

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : l’affichage d’un document PDF mal formé peut entraîner un blocage de l’application

    Description : CoreGraphics a été mis à jour pour résoudre le problème décrit sur le site web Month of Apple Bugs (MOAB-06-01-2007) qui pourrait entraîner un blocage de l’application.

  • Crash Reporter

    Références CVE : CVE-2007-0467

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : Crash Reporter pourrait permettre à un administrateur local d’obtenir des permissions système.

    Description : Crash Reporter utilise un système de répertoire modifiable par un administrateur pour enregistrer les historiques des procédures d’accès interrompues inopinément. Une procédure malveillante exécutée en tant qu’administrateur pourrait écrire ces historiques dans des fichiers quelconques en tant que root, ce qui pourrait permettre l’exécution de commandes avec des permissions élevées. Ce problème a été décrit sur le site web Month of Apple Bugs (MOAB-28-01-2007). Cette mise à jour résout le problème en effectuant une validation supplémentaire avant d’écrire les fichiers d’historique.

  • CUPS

    Références CVE : CVE-2007-0720

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : des attaquants distants peuvent provoquer un déni de service lors d’une négociation SSL.

    Description : une connexion SSL partiellement négociée avec le service CUPS peut empêcher le transfert d’autres requêtes jusqu’à la fermeture de la connexion. Cette mise à jour résout le problème en implémentant des délais lors de la négociation SSL.

  • Images disque

    Références CVE : CVE-2007-0721

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : le montage d’une image disque construite de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque

    Description : il existe une vulnérabilité liée à une corruption de la mémoire dans diskimages-helper. En poussant un utilisateur à ouvrir une image disque compressée construite de manière malveillante, un attaquant pourrait déclencher ce problème, qui peut conduire à un blocage inattendu d’une application ou à l’exécution d’un code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images disque.

  • Images disque

    Références CVE : CVE-2007-0722

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : le montage d’une image disque AppleSingleEncoding construite de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque

    Description : il existe une vulnérabilité de dépassement d’entier dans le gestionnaire d’images disque AppleSingleEncoding. En poussant un utilisateur local à ouvrir une image disque construite de manière malveillante, un attaquant pourrait déclencher le dépassement, qui peut conduire à un blocage inattendu d’une application ou à l’exécution d’un code quelconque. Cette mise à jour résout le problème en réalisant une validation supplémentaire sur les images disque AppleSingleEncoding.

  • Images disque

    Références CVE : CVE-2006-6061, CVE-2006-6062, CVE-2006-5679, CVE-2007-0229, CVE-2007-0267, CVE-2007-0299

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.8, Mac OS X Server v10.4.8

    Conséquences : le téléchargement d’une image disque construite de manière malveillante peut conduire à une extinction inattendue du système ou à l’exécution de code quelconque

    Description : il existe plusieurs vulnérabilités dans le traitement des images disque qui pourraient interrompre de manière inattendue le fonctionnement du système ou exécuter un code quelconque. Elles ont été décrites sur les sites web de Month of Kernel Bugs et Month of Apple Bugs (MOKB-03-11-2006, MOKB-20-11-2006, MOKB-21-11-2006, MOAB-10-01-2007, MOAB-11-01-2007 et MOAB-12-01-2007). Comme une image disque peut être montée automatiquement lors de la consultation de sites web, cela permet à un site web malveillant de provoquer un déni de service. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images disque téléchargées avant de les monter.

  • Modules DS

    Références CVE : CVE-2007-0723

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : des utilisateurs LDAP ne disposant pas de privilèges pourraient changer le mot de passe root local.

    Description : un défaut d’implémentation dans DirectoryService permet à un utilisateur LDAP ne disposant pas de privilèges de changer le mot de passe root local. Le mécanisme d’authentification de DirectoryService a été corrigé pour résoudre ce problème.

  • Flash Player

    Références CVE : CVE-2006-5330

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : la lecture d’un contenu Flash construit de manière malveillante pourrait permettre une attaque de division de requête HTTP

    Description : Adobe Flash Player est mis à jour vers la version 9.0.28.0 pour corriger une vulnérabilité potentielle qui pourrait permettre des attaques de division de requête HTTP. Ce problème est décrit sous la référence APSB06-18 sur le site web d’Adobe http://www.adobe.com/support/security/

  • GNU Tar

    Références CVE : CVE-2006-0300, CVE-2006-6097

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : multiples vulnérabilités dans GNU Tar, la plus importante étant l’exécution de code quelconque

    Description : GNU Tar est mis à jour de la version 1.14 à la version 1.16.1. Des renseignements supplémentaires sont disponibles sur le site web de GNU http://www.gnu.org/software/tar/

  • HFS

    Références CVE : CVE-2007-0318

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : le fait de supprimer un fichier d’un système de fichiers construit de manière malveillante et monté pourrait entraîner un déni de service

    Description : un système de fichiers HFS+ dans une image disque montée peut être construit de façon à déclencher une panique du noyau lors d’une tentative de suppression d’un fichier à partir d’un système de fichiers monté. Ce problème a été décrit sur le site web Month of Apple Bugs (MOAB-13-11-2006). Cette mise à jour résout le problème en réalisant des validations supplémentaires sur le système de fichiers HFS+.

  • Famille HID

    Références CVE : CVE-2007-0724

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : les événements clavier de la console sont exposés à d’autres utilisateurs sur le système local

    Description : des contrôles insuffisants dans l’interface IOKit HID permettent à tout utilisateur connecté de capturer les touches de la console, y compris les mots de passe et autres informations sensibles. Cette mise à jour résout le problème en limitant les événements de l’appareil HID à des procédures appartenant à l’utilisateur actuel de la console. Nous remercions Andrew Garber de l’université de Victoria, Alex Harper et Michael Evans pour avoir signalé ce problème.

  • ImageIO

    Références CVE : CVE-2007-1071

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : l’affichage d’un fichier GIF construit de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque

    Description : il existe une vulnérabilité de dépassement d’entier dans la procédure de gestion des fichiers GIF. En poussant un utilisateur à ouvrir une image construite de manière malveillante, un attaquant peut déclencher le dépassement, qui peut conduire à un blocage inattendu d’une application ou à l’exécution d’un code quelconque. Cette mise à jour résout le problème en réalisant une validation supplémentaire sur les fichiers GIF. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Tom Ferris de Security-Protocols pour avoir signalé ce problème.

  • ImageIO

    Références CVE : CVE-2007-0733

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : l’affichage d’une image RAW construite de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque

    Description : il existe un problème de corruption de la mémoire dans la procédure de gestion des images RAW. En poussant un utilisateur à ouvrir une image construite de manière malveillante, un attaquant peut déclencher le problème, qui peut conduire à un blocage inattendu d’une application ou à l’exécution d’un code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images RAW. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Luke Church de Computer Laboratory, université de Cambridge, pour avoir signalé ce problème.

  • Noyau

    Références CVE : CVE-2006-5836

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : des utilisateurs locaux malveillants pourraient provoquer un déni de service

    Description : l’utilisation d’un appel système fpathconf() avec certains types de fichiers provoque une panique du noyau. Ce problème a été décrit sur le site web Month of Kernel Bugs (MOAB-09-11-2006). Cette mise à jour résout le problème grâce à une gestion améliorée pour tous les types de fichiers définis par le noyau. Nous remercions Ilja van Sprundel pour avoir signalé ce problème.

  • Noyau

    Références CVE : CVE-2006-6129

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : l’exécution d’un fichier binaire Universal March-O pourrait interrompre le fonctionnement du système de manière inattendue ou provoquer l’exécution d’un code quelconque avec des privilèges élevés

    Description : il existe une vulnérabilité de dépassement d’entier dans le chargement de fichiers binaires Universal March-O. Cela pourrait permettre à un utilisateur local malveillant de provoquer une panique du noyau ou d’obtenir des permissions système. Ce problème a été décrit sur le site web Month of Kernel Bugs (MOAB-26-11-2006). Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les fichiers binaires Universal.

  • Noyau

    Références CVE : CVE-2006-6173

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : l’exécution d’un programme construit de manière malveillante pourrait provoquer un arrêt du système

    Description : l’appel système shared_region_make_private_np() permet à un programme de demander une grande allocation de mémoire du noyau. Cela pouvait permettre à un utilisateur local malveillant de provoquer un arrêt du système. Ce problème n’entraîne pas de dépassement d’entier, et il ne peut pas provoquer l’exécution d’un code quelconque. Ce problème a été décrit sur le site web Month of Kernel Bugs (MOAB-28-11-2006). Cette mise à jour résout le problème grâce à une validation supplémentaire des arguments transmis à shared_region_make_private_np().

  • Serveur MySQL

    Références CVE : CVE-2006-1516, CVE-2006-1517, CVE-2006-2753, CVE-2006-3081, CVE-2006-4031, CVE-2006-4226, CVE-2006-3469

    Disponible pour : Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : multiples vulnérabilités dans MySQL, la plus importante étant l’exécution de code quelconque

    Description : MySQL est mis à jour de la version 4.1.13 à 4.1.22. Des renseignements supplémentaires sont disponibles sur le site web MySQL à http://dev.mysql.com/doc/refman/4.1/en/news-4-1-x.html

  • Réseau

    Références CVE : CVE-2006-6130

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : des utilisateurs locaux malveillants pourraient interrompre le fonctionnement du système de façon inattendue ou exécuter un code quelconque avec des privilèges élevés

    Description : il existe un problème de corruption de la mémoire dans le gestionnaire de protocole AppleTalk. Cela pourrait permettre à un utilisateur local malveillant de provoquer une panique du noyau ou d’obtenir une augmentation des permissions système. Ce problème a été décrit sur le site web Month of Kernel Bugs (MOAB-27-11-2006). Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les structures des données entrées.

  • Réseau

    Références CVE : CVE-2007-0236

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : des requêtes AppleTalk construites de manière malveillantes pourraient provoquer un déni de service local ou l’exécution d’un code quelconque

    Description : il existe une vulnérabilité de dépassement de la mémoire tampon dans le gestionnaire de protocole AppleTalk. En envoyant une requête construite de manière malveillante, un utilisateur local peut déclencher le dépassement susceptible de provoquer un déni de service ou l’exécution d’un code quelconque. Ce problème a été décrit sur le site web Month of Apple Bugs (MOAB-14-01-2007). Cette mise à jour résout le problème en réalisant une validation supplémentaire sur les données entrées.

  • OpenSSH

    Références CVE : CVE-2007-0726

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : un attaquant distant peut détruire la confiance établie entre des hôtes SSH en provoquant une régénération des clés SSH.

    Description : les clés SSH sont créées sur un serveur lorsque la première connexion SSH est établie. Un attaquant se connectant au serveur avant que SSH n’ait terminé la création des clés pourrait forcer une nouvelle création des clés. Cela pourrait provoquer un déni de service à l’encontre des procédures qui reposent sur une relation de confiance établie avec le serveur. Les systèmes pour lesquels SSH est déjà activé et qui ont redémarré au moins une fois ne sont pas vulnérables à ce problème. Ce problème est résolu par l’amélioration de la procédure de génération de clés SSH. Ce problème est spécifique à l’implémentation Apple d’OpenSSH. Nous remercions Jeff Mccune de l’université de l’État de l’Ohio pour avoir signalé ce problème.

  • OpenSSH

    Références CVE : CVE-2006-0225, CVE-2006-4924, CVE-2006-5051, CVE-2006-5052

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : multiples vulnérabilités dans OpenSSH, la plus importante étant l’exécution de code quelconque

    Description : mise à jour 4.5 d’OpenSSH. Des renseignements supplémentaires sont disponibles sur le site web d’OpenSSH à http://www.openssh.org/txt/release-4.5.

  • Impression

    Références CVE : CVE-2007-0728

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : un utilisateur local ne disposant pas de privilèges peut écraser des fichiers quelconques grâce à des permissions système

    Description : des opérations de fichier non sécurisées peuvent se produire pendant l’initialisation d’une imprimante USB. Un attaquant pourrait profiter de ce comportement pour créer ou écraser des fichiers quelconques sur le système. Cette mise à jour résout le problème en améliorant la procédure d’initialisation d’imprimante.

  • QuickDraw Manager

    Références CVE : CVE-2007-0588

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : l’ouverture d’une image PICT construite de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque

    Description : il existe une vulnérabilité de dépassement de la mémoire tampon dans le traitement d’image PICT de QuickDraw. En poussant un utilisateur à ouvrir une image construite de manière malveillante, un attaquant peut déclencher le dépassement, qui peut conduire à un blocage inattendu d’une application ou à l’exécution d’un code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les fichiers PICT. Nous remercions Tom Ferris de Security-Protocols et Mike Price de McAfee AVERT Labs pour avoir signalé ce problème.

  • QuickDraw Manager

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : l’ouverture d’une image PICT mal formée pourrait provoquer l’arrêt inattendu de l’application

    Description : QuickDraw Manager a été mis à jour pour résoudre le problème décrit sur le site web Month of Apple Bugs (MOAB-23-01-2007) qui pourrait provoquer un arrêt inattendu de l’application. Ce problème ne peut pas provoquer l’exécution d’un code quelconque.

  • servermgrd

    Références CVE : CVE-2007-0730

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : des attaquants distants pourraient accéder au Gestionnaire de serveur sans authentification valide

    Description : un problème dans la validation des informations d’authentification du Gestionnaire de serveur pourrait permettre à un attaquant de modifier la configuration du système. Cette mise à jour résout le problème en réalisant une validation supplémentaire sur les informations d’authentification.

  • Serveur de fichiers SMB

    Références CVE : CVE-2007-0731

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : un utilisateur disposant d’un accès en écriture sur un partage SMB pourrait provoquer un déni de service ou l’exécution d’un code quelconque

    Description : il existe une vulnérabilité de dépassement de la mémoire tampon de pile dans un module Samba spécifique à Apple. Un fichier associé à une ACL trop longue pourrait déclencher le dépassement, qui pourrait provoquer un déni de service ou l’exécution d’un code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les ACL. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Cameron Kay de l’université Massey, en Nouvelle-Zélande, pour avoir signalé ce problème.

  • Mise à jour de logiciels

    Références CVE : CVE-2007-0463

    Disponible pour : Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : l’ouverture d’un fichier de catalogue de mises à jour de logiciels construit de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque

    Description : il existe une vulnérabilité de chaîne de format dans l’application Mise à jour de logiciels. En poussant un utilisateur à télécharger et ouvrir un fichier de catalogue de mises à jour de logiciels construit de manière malveillante, un attaquant peut déclencher la vulnérabilité, qui peut conduire à un blocage inattendu d’une application ou à l’exécution d’un code quelconque. Ce problème a été décrit sur le site web Month of Apple Bugs (MOAB-24-01-2007). Cette mise à jour résout le problème en supprimant les liaisons de document des catalogues de mises à jour de logiciels. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Kevin Finisterre de DigitalMunition pour avoir signalé ce problème.

  • sudo

    Références CVE : CVE-2005-2959

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 à Mac OS X v10.4.8, Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : un utilisateur local disposant d’un accès sudo à un script bash peut exécuter des commandes quelconques avec des permissions élevées

    Description : une configuration sudo modifiée par l’utilisateur pourrait permettre la transmission de variables d’environnement au programme en cours en tant qu’utilisateur disposant de permissions. Si sudo est configuré de façon à permettre à d’autres utilisateurs ne disposant pas de permission d’exécuter un script bash avec des permissions élevées, l’utilisateur pourrait exécuter un code quelconque avec des permissions élevées. Les systèmes disposant de la configuration par défaut de sudo ne sont pas vulnérables à ce problème. Ce problème a été résolu avec la mise à jour 1.6.8p12 de sudo. Des renseignements supplémentaires sont disponibles sur le site web de sudo à http://www.sudo.ws/sudo/current.html.

  • WebLog

    Références CVE : CVE-2006-4829

    Disponible pour : Mac OS X Server v10.4 à Mac OS X Server v10.4.8

    Conséquences : un attaquant distant peut effectuer des attaques de scriptage croisé entre sites grâce à Blojsom

    Description : il existe une vulnérabilité de scriptage croisé entre sites dans Blojsom. Cela permet à des attaquants distants d’introduire JavaScript dans un contenu de blog qui s’exécutera dans le domaine du serveur Blojsom. Cette mise à jour résout le problème en réalisant une validation supplémentaire sur les saisies de l’utilisateur. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4.

Important : les mentions de sites Web et de produits tiers ne sont données qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet, et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Published Date: 10 oct. 2016