À propos de la mise à jour de sécurité 2010-001
Ce document décrit la mise à jour de sécurité 2010-001, qui peut être téléchargée et installée via les préférences Mise à jour de logiciels ou à partir de la page Téléchargements Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
Mise à jour de sécurité 2010-001
CoreAudio
Référence CVE : CVE-2010-0036
Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Conséquence : la lecture d’un fichier audio malveillant au format mp4 peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code
Description : il existe un dépassement de mémoire tampon au niveau de la gestion des fichiers audio au format mp4. L’ouverture d’un fichier audio mp4 malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Ce problème a été résolu par une meilleure vérification des limites. Merci à Tobias Klein de trapkit.de d’avoir signalé ce problème.
CUPS
Référence CVE : CVE-2009-3553
Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Conséquence : un attaquant distant peut provoquer l’arrêt inattendu de l’application cupsd
Description : il existe un problème d’utilisation ultérieure libre dans cupsd. En émettant une requête get-printer-jobs malveillante, un attaquant peut provoquer un déni de service à distance. Ce problème est atténué par le redémarrage automatique de cupsd après son arrêt. Ce problème est résolu grâce à un meilleur suivi de l’utilisation des connexions.
Module Flash Player
Références CVE : CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951
Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Conséquence : plusieurs failles existent dans le module Adobe Flash Player.
Description : plusieurs problèmes existent dans le module Adobe Flash Player, dont le plus grave peut entraîner l’exécution arbitraire de code lors de l’accès à un site web malveillant. Ces problèmes sont résolus par la mise à jour du module Flash Player vers la version 10.0.42. De plus amples informations sont disponibles sur le site web d’Adobe à l’adresse http://www.adobe.com/support/security/bulletins/apsb09-19.html Merci à un chercheur anonyme et à Damian Put en collaboration avec TippingPoint et la Zero Day Initiative, à Bing Liu de l’équipe FortiGuard Global Security Research de Fortinet, à Will Dormann du CERT, à Manuel Caballero et Microsoft Vulnerability Research (MSVR).
ImageIO
Référence CVE : CVE-2009-2285
Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8
Conséquence : l’affichage d’une image TIFF malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code
Description : il existe un dépassement de mémoire tampon au niveau de la gestion par ImageIO des images TIFF. L’affichage d’une image TIFF malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Ce problème a été résolu par une meilleure vérification des limites. Pour les systèmes Mac OS X 10.6, ce problème a été résolu sous Mac OS X 10.6.2.
Image RAW
Référence CVE : CVE-2010-0037
Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Conséquence : l’affichage d’une image DNG malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code
Description : un problème de dépassement de tampon existe dans la gestion des images DNG par Image RAW. L’affichage d’une image DNG malveillante pourrait entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Ce problème a été résolu par une meilleure vérification des limites. Merci à Jason Carr de l’équipe Computing Services de l’université Carnegie Mellon d’avoir signalé ce problème.
OpenSSL
Référence CVE : CVE-2009-3555
Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Conséquence : un attaquant disposant d’une position privilégiée sur le réseau peut capturer des données ou modifier les opérations effectuées dans les sessions protégées par SSL
Description : Une faille de type « attaque de l’homme du milieu » existe dans les protocoles SSL et TLS. De plus amples informations sont disponibles à l’adresse http://www.phonefactor.com/sslgap Une modification du protocole de renégociation est en cours au sein de l’IETF. Cette mise à jour désactive la renégociation dans OpenSSL en tant que mesure de sécurité préventive. Ce problème n’affecte pas les services utilisant le protocole Secure Transport, qui ne prend pas en charge la renégociation. Merci à Steve Dispensa et Marsh Ray de PhoneFactor, Inc. d’avoir signalé ce problème.
Important : les mentions de sites web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’assume aucune responsabilité en ce qui concerne la sélection, les performances ou l’utilisation des informations ou des produits disponibles sur les sites web tiers. Apple fournit ces informations uniquement pour rendre service à ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. L’utilisation d’informations ou de produits trouvés sur Internet comporte des risques, et Apple n’assume aucune responsabilité à cet égard. Veuillez noter que les sites web tiers sont indépendants d’Apple et qu’Apple n’a aucun contrôle sur leur contenu. Veuillez contacter le fournisseur pour obtenir plus d’informations.