À propos de Security Update 2007-005

This article has been archived and is no longer updated by Apple.

Ce document décrit Security Update 2007-005, qui peut être téléchargé et installé via les préférences Mise à jour de logiciels ou les Téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, consultez la page Sécurité produit d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Security Update 2007-005

  • Alias Manager

    Références CVE : CVE-2007-0740

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Conséquences : des utilisateurs pourraient être incités à ouvrir un fichier substitué

    Description : dans certains cas, un problème d’implémentation dans Alias Manager n’affiche pas des noms de fichier identiques dans des images disque montées de noms identiques. En poussant un utilisateur à monter deux images disque de noms identiques, un attaquant pourrait inciter l’utilisateur à ouvrir un programme malveillant. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les chemins de montage. Nous remercions Greg Bolsinga de Blurb, Inc. pour avoir signalé ce problème.

  • BIND

    Références CVE : CVE-2007-0493, CVE-2007-0494, CVE-2006-4095, CVE-2006-4096

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Conséquences : multiples vulnérabilités dans BIND, dont le plus important est un déni de service distant

    Description : mise à jour 9.3.4 de BIND. Des renseignements supplémentaires sont disponibles sur le site web ISC à http://www.isc.org/index.pl?/sw/bind/

  • CoreGraphics

    Références CVE : CVE-2007-0750

    Disponible pour : Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Conséquences : l’ouverture d’un fichier PDF construit de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque

    Description : il existe une vulnérabilité de dépassement d’entier dans la gestion des fichiers PDF. En poussant un utilisateur à ouvrir un fichier PDF construit de manière malveillante, un attaquant pourrait déclencher le dépassement, qui peut conduire à un blocage inattendu d’une application ou à l’exécution d’un code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les fichiers PDF. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4.

  • crontabs

    Références CVE : CVE-2007-0751

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Conséquences : le script de nettoyage quotidien du répertoire /tmp pourrait provoquer un déni de service

    Description : un système de fichiers monté dans le répertoire /tmp peut être effacé lors de l’exécution du script de nettoyage quotidien, ce qui pourrait provoquer un déni de service. Cette mise à jour résout les problèmes en effectuant une mise à jour du script de nettoyage quotidien afin d’empêcher la commande find de descendre dans le système de fichiers monté.

  • fetchmail

    Références CVE : CVE-2007-1558

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Conséquences : la divulgation d’un mot de passe de fetchmail est possible

    Description : la mise à jour 6.3.8 de fetchmail résout une faiblesse cryptographique qui pourrait provoquer la divulgation de mots de passe de fetchmail. Des renseignements supplémentaires sont disponibles sur le site web à l’adresse http://fetchmail.berlios.de/fetchmail-SA-2007-02.txt

  • file

    Références CVE : CVE-2007-1536

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Conséquences : l’exécution de la commande file sur un fichier construit de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque

    Description : il existe une vulnérabilité de dépassement de la mémoire tampon dans l’outil de ligne de commande file qui peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les fichiers qui sont traités par la commande file.

  • iChat

    Références CVE : CVE-2007-2390

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Conséquences : un attaquant sur le réseau local pourrait provoquer un déni de service ou l’exécution de code quelconque

    Description : il existe une vulnérabilité de dépassement de la mémoire tampon dans le code UPnP IGD (Internet Gateway Device Standardized Device Control Protocol) qui sert à créer les mappages de port sur les passerelles NAT domestiques dans iChat. En envoyant des paquets construits de manière malveillante, un attaquant sur le réseau local peut déclencher le dépassement, susceptible de provoquer un blocage inattendu d’application ou l’exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires lors du traitement des paquets du protocole UPnP dans iChat.

  • mDNSResponder

    Références CVE : CVE-2007-2386

    Disponible pour : Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Conséquences : un attaquant sur le réseau local pourrait provoquer un déni de service ou l’exécution de code quelconque

    Description : il existe une vulnérabilité de dépassement de la mémoire tampon dans le code UPnP IGD (Internet Gateway Device Standardized Device Control Protocol) qui sert à créer les mappages de port sur les passerelles NAT domestiques dans l’implémentation.mDNSResponder d’OS X. En envoyant des paquets construits de manière malveillante, un attaquant sur le réseau local peut déclencher le dépassement, susceptible de provoquer un blocage inattendu d’application ou l’exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires lors du traitement des paquets du protocole UPnP. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions Michael Lynn de Juniper Networks pour avoir signalé ce problème.

  • PPP

    Références CVE : CVE-2007-0752

    Disponible pour : Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Conséquences : un utilisateur peut obtenir des privilèges système.

    Description : le démon PPP présente un problème d’implémentation lors du chargement de modules externes via la commande line, ce qui permet à un utilisateur local d’obtenir des privilèges système. Cette mise à jour corrige le problème par la validation des privilèges utilisateur. Ce risque est absent dans les systèmes antérieurs à Mac OS X v10.4. Nous remercions un chercheur anonyme travaillant avec iDefense VCP d’avoir signalé ce problème.

  • ruby

    Références CVE : CVE-2006-5467, CVE-2006-6303

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Conséquences : vulnérabilités de déni de service dans la bibliothèque Ruby CGI

    Description : il existe plusieurs problèmes de déni de service dans la bibliothèque Ruby CGI. En envoyant des requêtes HTTP construites de manière malveillante à une application web utilisant cgi.rb, un attaquant pourrait déclencher un problème qui peut conduire à un déni de service. Cette mise à jour résout les problèmes en appliquant les correctifs de Ruby.

  • screen

    Références CVE : CVE-2006-4573

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Conséquences : plusieurs vulnérabilités de déni de service dans GNU Screen

    Description : l’outil de ligne de commande screen est mis à jour afin de résoudre plusieurs vulnérabilités de déni de service. Pour plus de renseignements, consultez le site web de GNU à l’adresse http://lists.gnu.org/archive/html/screen-users/2006-10/msg00028.html

  • texinfo

    Références CVE : CVE-2005-3011

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Conséquences : une vulnérabilité dans texinfo pourrait provoquer l’écrasement de fichiers quelconques

    Description : il existe un problème de gestion de fichier dans texinfo qui pourrait permettre à un utilisateur local de créer ou d’écraser des fichiers avec les privilèges de l’utilisateur exécutant texinfo. Cette mise à jour corrige le problème par une gestion améliorée des fichiers temporaires.

  • VPN

    Références CVE : CVE-2007-0753

    Disponible pour : Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9, Mac OS X Server v10.4.9

    Conséquences : un utilisateur peut obtenir des privilèges système.

    Description : il existe une vulnérabilité de chaîne de format dans vpnd. En exécutant la ligne de commande vpnd avec des arguments construits de manière malveillante, un utilisateur local peut déclencher la vulnérabilité qui peut conduire à l’exécution de code quelconque avec des privilèges système. Cette mise à jour résout le problème en réalisant une validation supplémentaire sur les arguments traités par vpnd. Nous remercions Chris Anley de NGSSoftware pour avoir signalé ce problème.

Published Date: 10 oct. 2016