À propos de Security Update 2007-006

This article has been archived and is no longer updated by Apple.

Ce document décrit Security Update 2007-006, qui peut être téléchargé et installé via les préférences Mise à jour de logiciels ou les Téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, consultez la page Sécurité produit d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article «Comment utiliser la clé PGP de sécurité des produits Apple».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article «Mises à jour de sécurité Apple».

Security Update 2007-006

  • WebCore

    Références CVE: CVE-2007-2401

    Disponible pour: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9 ou ultérieur, Mac OS X Server v10.4.9 ou ultérieur

    Conséquences: la consultation d’un site web construit de manière malveillante peut rendre possible des requêtes intersites

    Description: XMLHttpRequest présente un problème d’injection HTTP lors de la sérialisation d’en-têtes dans une requête HTTP. En poussant un utilisateur à consulter une page web construite de manière malveillante, il serait possible à un attaquant de réaliser des attaques par scriptage intersite. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les paramètres des en-têtes. Nous remercions Richard Moore de Westpoint Ltd. pour avoir signalé ce problème.

  • WebKit

    Références CVE: CVE-2007-2399

    Disponible pour: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.9 ou ultérieur, Mac OS X Server v10.4.9 ou ultérieur

    Conséquences: la consultation d’un site web construit de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque

    Description: Une conversion de type non valide lors du rendu d’ensemble de cadres (frameset) peut conduire à une corruption de mémoire. la consultation d’une page web construite de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque Nous remercions Rhys Kidd de Westnet pour avoir signalé ce problème.

Published Date: 10 oct. 2016