Risques

  • Déni de service
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

  • Mac OS X Server v10.2.8 ;
  • Mac OS X Server v10.3.7.
  • Mac OS X v10.2.8 ;
  • Mac OS X v10.3.7 ;

Résumé

De multiples vulnérabilités découvertes dans le système d'exploitation Mac OS X d'Apple peuvent être exploitées par un utilisateur mal intentionné afin de réaliser un déni de service, d'exécuter du code arbitraire à distance, ou d'élever ses privilèges.

Description

  • Une vulnérabilité affecte les commandes de la famille at, permettant d'élever les privilèges (référence CVE CAN-2005-0125). La mise à jour concerne les commandes at, atrm, batch, atq, et atrun ;
  • une vulnérabilité affecte le composant ColorSync. Un utilisateur mal intentionné peut, par le biais de profils de couleur ICC mal formés, exécuter du code arbitraire (référence CVE CAN-2005-0126) ;
  • une vulnérabilité décrite dans l'avis CERTA-2004-AVI-361 affecte la bibliothèque libxml2 (référence CVE CAN-2004-0989) ;
  • une vulnérabilité affecte le composant Mail. Des informations relatives à la carte réseau sont ajoutées dans l'en-tête des messages (référence CVE CAN-2005-0127) ;
  • de multiples vulnérabilités décrites dans l'avis CERTA-2004-AVI-405 affectent le composant PHP. L'exploitation de ces vulnérabilités permet de réaliser un déni de service ou l'exécution de code arbitraire à distance (référence CVE CAN-2003-0860, CAN-2003-0863, CAN-2004-0594, CAN-2004-0595, CAN-2004-1018, CAN-2004-1019, CAN-2004-1020, CAN-2004-1063, CAN-2004-1064, CAN-2004-1065). L'application du correctif d'Apple met à jour PHP en version 4.3.10 ;
  • une vulnérabilité affecte le navigateur Safari. Si la fontionnalité de blocage des fenêtres pop-up n'est pas activée, un utilisateur peut être trompé sur le contenu d'une telle fenêtre (référence CVE CAN-2004-1314) ;
  • une vulnérabilité de type cross-site scripting affecte SquirrelMail (référence CVE CAN-2004-1036).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation