S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 février 2007
N° CERTA-2007-AVI-091
Affaire suivie par: CERT-FR
le 16 février 2007

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Apple iChat

Gestion du document

Référence CERTA-2007-AVI-091
Titre Multiples vulnérabilités dans Apple iChat
Date de la première version 16 février 2007
Date de la dernière version 16 février 2007
Source(s) Mise à jour de sécurité Apple 2007-002 du 15 février 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance.

Systèmes affectés

  • Mac OS X et Mac OS X Server version 10.3.9 ;
  • Mac OS X et Mac OS X Server version 10.4.8.

Résumé

Plusieurs vulnérabilités présentes dans iChat peuvent permettre de réaliser un déni de service ou l'exécution de code arbitraire à distance.

Description

Plusieurs vulnérabilités ont été identifiées dans iChat :

  • un problème de validation lors de l'échange du message Bonjour (CVE-2007-0614 et CVE-2007-0710) permet à un utilisateur malintentionné du réseau local de réaliser un déni de service de l'application iChat par le biais d'un message Bonjour spécialement conçu ;
  • un manque de validation des adresses réticulaires AIM d'iChat (CVE-2007-0021) peut permettre à un utilisateur distant malintentionné de réaliser un déni de service de l'application iChat ou d'exécuter du code arbitraire par le biais d'une adresse réticulaire AIM spécialement conçue.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 16 février 2007
    version initiale.