S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 08 juin 2004
N° CERTA-2004-AVI-183
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Mise à jour de sécurité MacOS X

Gestion du document

Référence CERTA-2004-AVI-183
Titre Mise à jour de sécurité MacOS X
Date de la première version08 juin 2004
Date de la dernière version08 juin 2004
Source(s) Bulletin de sécurité APPLE-SA-2004-06-07
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • MacOS X versions 10.2.8 et antérieures.
  • MacOS X versions 10.3.4 et antérieures.

Résumé

Plusieurs vulnérabilités relatives à la gestion des URL affectent Mac OS X.

Description

Sous MacOS X, une application peut s'enregistrer (par le biais de l'interface Launch Services), pour être appellée lors de l'ouverture d'un type particulier d'URL.

Cette fonctionnalité, combinée avec d'autres techniques d'injection de code comme l'emploi du DiskImageMounter (disk://), peut être utilisée par un utilisateur mal intentionné afin de forcer l'exécution de code arbitraire à distance.

Une vulnérabilité relative à l'exécution de code à travers l'option "Afficher dans le Finder" de la fenêtre de téléchargements est également présente dans le navigateur SAFARI.

Solution

Appliquer le correctif livré par Apple :

  • MacOS X 10.2.8 :

    http://www.apple.com/support/downloads/securityupdate_2004-06-07_(_10_2_8).html

  • MacOS X 10.3.4 :

    http://www.apple.com/support/downloads/securityupdate_2004-06-07_(_10_3_4).html

Documentation

Gestion détaillée du document

    le 08 juin 2004
    version initiale.