Risques
- Atteinte à l'intégrité des données
- Contournement de la politique de sécurité
- Déni de service
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
Mac OS X.
Résumé
De nombreuses vulnérabilités sont présentes dans certains composants de MAC OS X.
Description
Plusieurs vulnérabilités ont été découvertes dans Mac OS X :
- Apache 2 ne filtre pas les séquences d'échappement de terminaux dans ses journaux d'erreurs. Cette vulnérabilité peut être exploitée afin de modifier certains fichiers ou bien d'effectuer un déni de service ;
- deux vulnérabilités dans la mise en oeuvre d'IPSec permettent à un utilisateur mal intentionné de contourner la politique de sécurité ou d'effectuer un déni de service ;
AppleFileServerfournit un système de partage de fichiers à partir du protocole AFP (Apple Filing Protocol). Une vulnérabilité dans la mise en oeuvre du système de pré-authentification permet à utilisateur mal intentionné d'exécuter du code arbitraire à distance avec les privilègesRoot;CoreFoundationne gére pas correctement les variables d'environnement.
Solution
Mettre à jour le système (cf. Documentation).
Documentation
- Avis de sécurité d'Apple http://docs.info.apple.com/article.html?artnum=61798
- avis CERTA-2003-AVI-067 du CERTA "Vulnérabilité dans les émulateurs de terminaux" : http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-067/
- avis de sécurité atstake : http://www.atstake.com/research/advisories/2004/a050304-1.txt
