À propos des correctifs de sécurité d’OS X Mavericks 10.9.5 et de la mise à jour de sécurité 2014-004
Ce document décrit les correctifs de sécurité d’OS X Mavericks 10.9.5 et de la mise à jour de sécurité 2014-004.
Cette mise à jour peut être téléchargée et installée à partir de Mise à jour de logiciels ou du site web de l’assistance Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
Remarque : OS X Mavericks 10.9.5 inclut les correctifs de sécurité de Safari 7.0.6.
OS X Mavericks 10.9.5 et mise à jour de sécurité 2014-004
apache_mod_php
Disponible pour : OS X Mavericks 10.9 à 10.9.4
Conséquence : PHP 5.4.24 comportait plusieurs vulnérabilités.
Description : PHP 5.4.24 comportait plusieurs vulnérabilités, dont la plus grave pouvait entraîner l’exécution de code arbitraire. Cette mise à jour résout les problèmes en installant la version 5.4.30 de PHP.
Références CVE
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Disponible pour : OS X Mavericks 10.9 à 10.9.4
Conséquence : une application malveillante peut exécuter du code arbitraire avec des privilèges système.
Description : la gestion d’un appel de l’API Bluetooth présentait un problème de validation. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-4390 : Ian Beer de Google Project Zero
CoreGraphics
Disponible pour : OS X Mavericks 10.9 à 10.9.4
Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou la divulgation d’informations.
Description : un problème de lecture hors limites de la mémoire affectait la gestion des fichiers PDF. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-4378 : Felipe Andres Manzano de Binamuse VRT en collaboration avec le programme iSIGHT Partners GVP
CoreGraphics
Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4
Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : la gestion des fichiers PDF présentait un problème de dépassement d’entier. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-4377 : Felipe Andres Manzano de Binamuse VRT en collaboration avec le programme iSIGHT Partners GVP
Foundation
Disponible pour : OS X Mavericks 10.9 à 10.9.4
Conséquence : une application utilisant NSXMLParser peut être utilisée pour divulguer des informations à mauvais escient.
Description : la gestion des fichiers XML par NSXMLParser présentait un problème lié aux entités XML externes. Ce problème a été résolu par le non-chargement des entités externes au niveau des origines.
Référence CVE
CVE-2014-4374 : George Gal de VSR (http://www.vsecurity.com/)
Intel Graphics Driver
Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4
Conséquence : la compilation de shaders GLSL non fiables peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : un problème de dépassement de tampon dans l’espace utilisateur affectait le compilateur de shaders. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-4393 : Apple
Intel Graphics Driver
Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4
Conséquence : une application malveillante peut exécuter du code arbitraire avec des privilèges système.
Description : certaines routines de pilotes graphiques intégrés présentaient plusieurs problèmes de validation. Ces problèmes ont été résolus par une meilleure vérification des limites.
Références CVE
CVE-2014-4394 : Ian Beer de Google Project Zero
CVE-2014-4395 : Ian Beer de Google Project Zero
CVE-2014-4396 : Ian Beer de Google Project Zero
CVE-2014-4397 : Ian Beer de Google Project Zero
CVE-2014-4398 : Ian Beer de Google Project Zero
CVE-2014-4399 : Ian Beer de Google Project Zero
CVE-2014-4400 : Ian Beer de Google Project Zero
CVE-2014-4401 : Ian Beer de Google Project Zero
CVE-2014-4416 : Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.
Description : la gestion des arguments de l’API IOKit présentait un problème de déréférencement de pointeurs null. Il a été résolu par une meilleure validation des arguments de l’API IOKit.
Référence CVE
CVE-2014-4376 : Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible pour : OS X Mavericks 10.9 à 10.9.4
Conséquence : une application malveillante peut exécuter du code arbitraire avec des privilèges système.
Description : la gestion d’une fonction IOAcceleratorFamily présentait un problème de lecture hors limites. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-4402 : Ian Beer de Google Project Zero
IOHIDFamily
Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4
Conséquence : un utilisateur local peut lire les pointeurs de noyau, ce qui permet de contourner la distribution aléatoire de l’espace d’adressage des noyaux.
Description : la gestion d’une fonction IOHIDFamily présentait un problème de lecture hors limites. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-4379 : Ian Beer de Google Project Zero
IOKit
Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.
Description : la gestion de certains champs de métadonnées des objets IODataQueue présentait un problème de validation. Il a été résolu par une meilleure validation des métadonnées.
Référence CVE
CVE-2014-4388 : @PanguTeam
IOKit
Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.
Description : la gestion des fonctions IOKit présentait un problème de dépassement d’entier. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-4389 : Ian Beer de Google Project Zero
Kernel
Disponible pour : OS X Mavericks 10.9 à 10.9.4
Conséquence : un utilisateur local peut obtenir des adresses de noyau et contourner la distribution aléatoire de l’espace d’adressage des noyaux.
Description : dans certains cas, la table globale de descripteurs applicable au processeur était associée à une adresse prédictible. Ce problème a été résolu par l’association permanente de la table globale de descripteurs à des adresses aléatoires.
Référence CVE
CVE-2014-4403 : Ian Beer de Google Project Zero
Libnotify
Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges racine.
Description : Libnotify présentait un problème d’écriture hors limites. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE :
CVE-2014-4381 : Ian Beer de Google Project Zero
OpenSSL
Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4
Conséquence : OpenSSL comportait plusieurs vulnérabilités, dont une pouvait entraîner l’exécution de code arbitraire.
Description : la version 0.9.8y d’OpenSSL présentait plusieurs vulnérabilités. Ce problème a été résolu par la mise à jour d’OpenSSL vers la version 0.9.8za.
Références CVE
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4
Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : la gestion des fichiers vidéo encodés au format RLE présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-1391 : Fernando Munoz, en collaboration avec iDefense VCP, Tom Gallagher et Paul Bates, en collaboration avec le programme Zero Day Initiative de HP
QT Media Foundation
Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4
Conséquence : la lecture d’un fichier MIDI malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : la gestion de fichiers MIDI entraînait un dépassement de tampon. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-4350 : s3tm3m, en collaboration avec le programme Zero Day Initiative de HP
QT Media Foundation
Disponible pour : OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 à 10.9.4
Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : la gestion d’atomes 'mvhd' présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2014-4979 : Andrea Micalizzi, alias rgod, en collaboration avec le programme Zero Day Initiative de HP
ruby
Disponible pour : OS X Mavericks 10.9 à 10.9.4
Conséquence : un attaquant distant peut être en mesure de provoquer l’exécution de code arbitraire.
Description : la gestion par LibYAML des caractères codés en pourcentage d’un URI présentait un problème de dépassement de tas. Ce problème a été résolu par une meilleure vérification des limites. Ce problème a été résolu par l’installation de la version 0.1.6 de LibYAML.
Référence CVE
CVE-2014-2525
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.