À propos des correctifs de sécurité d’OS X Mavericks 10.9.5 et de la mise à jour de sécurité 2014-004

Ce document décrit les correctifs de sécurité d’OS X Mavericks 10.9.5 et de la mise à jour de sécurité 2014-004.

Cette mise à jour peut être téléchargée et installée à partir de Mise à jour de logiciels ou du site web de l’assistance Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

Remarque : OS X Mavericks 10.9.5 inclut les correctifs de sécurité de Safari 7.0.6.

OS X Mavericks 10.9.5 et mise à jour de sécurité 2014-004

  • apache_mod_php

    Disponible pour : OS X Mavericks 10.9 à 10.9.4

    Conséquence : PHP 5.4.24 comportait plusieurs vulnérabilités.

    Description : PHP 5.4.24 comportait plusieurs vulnérabilités, dont la plus grave pouvait entraîner l’exécution de code arbitraire. Cette mise à jour résout les problèmes en installant la version 5.4.30 de PHP.

    Références CVE

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Disponible pour : OS X Mavericks 10.9 à 10.9.4

    Conséquence : une application malveillante peut exécuter du code arbitraire avec des privilèges système.

    Description : la gestion d’un appel de l’API Bluetooth présentait un problème de validation. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4390 : Ian Beer de Google Project Zero

  • CoreGraphics

    Disponible pour : OS X Mavericks 10.9 à 10.9.4

    Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou la divulgation d’informations.

    Description : un problème de lecture hors limites de la mémoire affectait la gestion des fichiers PDF. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4378 : Felipe Andres Manzano de Binamuse VRT en collaboration avec le programme iSIGHT Partners GVP

  • CoreGraphics

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4

    Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

    Description : la gestion des fichiers PDF présentait un problème de dépassement d’entier. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4377 : Felipe Andres Manzano de Binamuse VRT en collaboration avec le programme iSIGHT Partners GVP

  • Foundation

    Disponible pour : OS X Mavericks 10.9 à 10.9.4

    Conséquence : une application utilisant NSXMLParser peut être utilisée pour divulguer des informations à mauvais escient.

    Description : la gestion des fichiers XML par NSXMLParser présentait un problème lié aux entités XML externes. Ce problème a été résolu par le non-chargement des entités externes au niveau des origines.

    Référence CVE

    CVE-2014-4374 : George Gal de VSR (http://www.vsecurity.com/)

  • Intel Graphics Driver

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4

    Conséquence : la compilation de shaders GLSL non fiables peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

    Description : un problème de dépassement de tampon dans l’espace utilisateur affectait le compilateur de shaders. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4393 : Apple

  • Intel Graphics Driver

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4

    Conséquence : une application malveillante peut exécuter du code arbitraire avec des privilèges système.

    Description : certaines routines de pilotes graphiques intégrés présentaient plusieurs problèmes de validation. Ces problèmes ont été résolus par une meilleure vérification des limites.

    Références CVE

    CVE-2014-4394 : Ian Beer de Google Project Zero

    CVE-2014-4395 : Ian Beer de Google Project Zero

    CVE-2014-4396 : Ian Beer de Google Project Zero

    CVE-2014-4397 : Ian Beer de Google Project Zero

    CVE-2014-4398 : Ian Beer de Google Project Zero

    CVE-2014-4399 : Ian Beer de Google Project Zero

    CVE-2014-4400 : Ian Beer de Google Project Zero

    CVE-2014-4401 : Ian Beer de Google Project Zero

    CVE-2014-4416 : Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4

    Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : la gestion des arguments de l’API IOKit présentait un problème de déréférencement de pointeurs null. Il a été résolu par une meilleure validation des arguments de l’API IOKit.

    Référence CVE

    CVE-2014-4376 : Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible pour : OS X Mavericks 10.9 à 10.9.4

    Conséquence : une application malveillante peut exécuter du code arbitraire avec des privilèges système.

    Description : la gestion d’une fonction IOAcceleratorFamily présentait un problème de lecture hors limites. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4402 : Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4

    Conséquence : un utilisateur local peut lire les pointeurs de noyau, ce qui permet de contourner la distribution aléatoire de l’espace d’adressage des noyaux.

    Description : la gestion d’une fonction IOHIDFamily présentait un problème de lecture hors limites. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4379 : Ian Beer de Google Project Zero

  • IOKit

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4

    Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : la gestion de certains champs de métadonnées des objets IODataQueue présentait un problème de validation. Il a été résolu par une meilleure validation des métadonnées.

    Référence CVE

    CVE-2014-4388 : @PanguTeam

  • IOKit

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4

    Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : la gestion des fonctions IOKit présentait un problème de dépassement d’entier. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4389 : Ian Beer de Google Project Zero

  • Kernel

    Disponible pour : OS X Mavericks 10.9 à 10.9.4

    Conséquence : un utilisateur local peut obtenir des adresses de noyau et contourner la distribution aléatoire de l’espace d’adressage des noyaux.

    Description : dans certains cas, la table globale de descripteurs applicable au processeur était associée à une adresse prédictible. Ce problème a été résolu par l’association permanente de la table globale de descripteurs à des adresses aléatoires.

    Référence CVE

    CVE-2014-4403 : Ian Beer de Google Project Zero

  • Libnotify

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4

    Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges racine.

    Description : Libnotify présentait un problème d’écriture hors limites. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE :

    CVE-2014-4381 : Ian Beer de Google Project Zero

  • OpenSSL

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4

    Conséquence : OpenSSL comportait plusieurs vulnérabilités, dont une pouvait entraîner l’exécution de code arbitraire.

    Description : la version 0.9.8y d’OpenSSL présentait plusieurs vulnérabilités. Ce problème a été résolu par la mise à jour d’OpenSSL vers la version 0.9.8za.

    Références CVE

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

    Description : la gestion des fichiers vidéo encodés au format RLE présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-1391 : Fernando Munoz, en collaboration avec iDefense VCP, Tom Gallagher et Paul Bates, en collaboration avec le programme Zero Day Initiative de HP

  • QT Media Foundation

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4

    Conséquence : la lecture d’un fichier MIDI malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

    Description : la gestion de fichiers MIDI entraînait un dépassement de tampon. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4350 : s3tm3m, en collaboration avec le programme Zero Day Initiative de HP

  • QT Media Foundation

    Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

    Description : la gestion d’atomes 'mvhd' présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4979 : Andrea Micalizzi, alias rgod, en collaboration avec le programme Zero Day Initiative de HP

  • ruby

    Disponible pour : OS X Mavericks 10.9 à 10.9.4

    Conséquence : un attaquant distant peut être en mesure de provoquer l’exécution de code arbitraire.

    Description : la gestion par LibYAML des caractères codés en pourcentage d’un URI présentait un problème de dépassement de tas. Ce problème a été résolu par une meilleure vérification des limites. Ce problème a été résolu par l’installation de la version 0.1.6 de LibYAML.

    Référence CVE

    CVE-2014-2525

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: