{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Apple Mac OS X Server v10.4, pour les versions ant\u00e9rieures \u00e0 10.4.8.","product":{"name":"N/A","vendor":{"name":"Apple","scada":false}}},{"description":"Apple Mac OS X Server version 10.3.9 ;","product":{"name":"N/A","vendor":{"name":"Apple","scada":false}}},{"description":"Apple Mac OS X v10.4 , pour les versions ant\u00e9rieures \u00e0 10.4.8 ;","product":{"name":"N/A","vendor":{"name":"Apple","scada":false}}},{"description":"Apple Mac OS X version 10.3.9 ;","product":{"name":"N/A","vendor":{"name":"Apple","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans le syst\u00e8me\nd'exploitation Apple Mac OS X, ainsi que certaines applications\nassoci\u00e9es \u00e0 ce syst\u00e8me. Parmi celles-ci :\n\n-   une vuln\u00e9rabilit\u00e9 dans CFNetwork, une interface de programmation\n    permettant l'abstraction de certaines fonctionnalit\u00e9s des couches\n    r\u00e9seau : elle ne manipulerait pas correctement les authentifications\n    SSL. Tout client s'appuyant sur elle, comme le navigateur Safari,\n    pourrait donc montrer une connexion SSL authentifi\u00e9e et chiffr\u00e9e\n    (ic\u00f4ne cadenas dans la fen\u00eatre du navigateur), bien que\n    l'authentification ne soit pas effectu\u00e9e.\n-   plusieurs vuln\u00e9rabilit\u00e9s dans l'application Adobe Flash Player,\n    aussi comment\u00e9es dans l'avis du CERTA CERTA-2006-AVI-398 : celle-ci\n    ne manipulerait pas convenablement certains fichiers multimedia au\n    format .swf, permettant \u00e0 un document sp\u00e9cialement construit de\n    contourner le param\u00e8tre de s\u00e9curit\u00e9 nomm\u00e9 allowScriptAccess de\n    l'application vuln\u00e9rable.\n-   une vuln\u00e9rabilit\u00e9 dans l'application ImageIO : elle n'interpr\u00e8terait\n    pas correctement certaines images JPEG2000. Une personne malveillant\n    pourrait construire un document particulier exploitant cette\n    vuln\u00e9rabilit\u00e9, afin d'ex\u00e9cuter du code arbitraire lorsque l'image\n    est visualis\u00e9e sur le syst\u00e8me vuln\u00e9rable.\n-   une vuln\u00e9rabilit\u00e9 dans la manipulation des erreurs par le noyau de\n    Mac OS X : quand une erreur survient (fermer une application\n    brutalement par exemple), le noyau fait appel \u00e0 des ports\n    d'exception Mach. Une personne malveillante pourrait profiter des\n    droits accord\u00e9s \u00e0 ces derniers pour \u00e9lever ses privil\u00e8ges \u00e0 ceux de\n    l'administrateur (root).\n-   plusieurs vuln\u00e9rabilit\u00e9s dans l'application LoginWindow : cette\n    application g\u00e8re notamment les services autoris\u00e9s aux utilisateurs\n    qui se connecteraient \u00e0 distance sur le syst\u00e8me. Il serait possible\n    pour une personne malveillante de contourner la politique de\n    contr\u00f4le d'acc\u00e8s sp\u00e9cifi\u00e9e dans le syst\u00e8me.\n-   une vuln\u00e9rabilit\u00e9 dans le service Pr\u00e9ferences, servant \u00e0 configurer\n    le syst\u00e8me d'exploitation : les privil\u00e8ges ne seraient pas\n    correctement nettoy\u00e9s \u00e0 la suppression d'un compte administrateur.\n-   une vuln\u00e9rabilit\u00e9 non document\u00e9e concernant la manipulation d'images\n    PICT par l'application QuickDraw Manager.\n-   une vuln\u00e9rabilit\u00e9 dans le service de messagerie Cyrus SASL, au cours\n    de la n\u00e9gaociation DIGEST-MD5 : une personne malveillante pourrait\n    construire un paquet particulier, perturbant le syst\u00e8me vuln\u00e9rable\n    qui le recevrait.\n-   une vuln\u00e9rabilit\u00e9 de l'utilitaire WebCore : celui-ci est un moteur\n    de rendu HTML pour le syst\u00e8me d'exploitation Mac OS X. C'est un des\n    composants primaires repris dans l'utilitaire WebKit. Il ne\n    manipulerait pas correctement certains documents au format HTML,\n    permettant \u00e0 un utilisateur d'ex\u00e9cuter du code sur le syst\u00e8me qui\n    ouvrirait son document construit de mani\u00e8re malveillante.\n-   une vuln\u00e9rabilit\u00e9 dans le service d'administration Workgroup\n    Manager, qui n'utiliserait pas correctement les mots de passe\n    ShadowHash avec la hi\u00e9rarchie des domaines de NetInfo.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2006-4640","url":"https://www.cve.org/CVERecord?id=CVE-2006-4640"},{"name":"CVE-2006-3587","url":"https://www.cve.org/CVERecord?id=CVE-2006-3587"},{"name":"CVE-2006-4395","url":"https://www.cve.org/CVERecord?id=CVE-2006-4395"},{"name":"CVE-2006-4397","url":"https://www.cve.org/CVERecord?id=CVE-2006-4397"},{"name":"CVE-2006-4394","url":"https://www.cve.org/CVERecord?id=CVE-2006-4394"},{"name":"CVE-2006-1721","url":"https://www.cve.org/CVERecord?id=CVE-2006-1721"},{"name":"CVE-2006-4391","url":"https://www.cve.org/CVERecord?id=CVE-2006-4391"},{"name":"CVE-2006-3311","url":"https://www.cve.org/CVERecord?id=CVE-2006-3311"},{"name":"CVE-2006-4390","url":"https://www.cve.org/CVERecord?id=CVE-2006-4390"},{"name":"CVE-2006-4387","url":"https://www.cve.org/CVERecord?id=CVE-2006-4387"},{"name":"CVE-2006-4393","url":"https://www.cve.org/CVERecord?id=CVE-2006-4393"},{"name":"CVE-2006-3588","url":"https://www.cve.org/CVERecord?id=CVE-2006-3588"},{"name":"CVE-2006-3946","url":"https://www.cve.org/CVERecord?id=CVE-2006-3946"},{"name":"CVE-2006-4392","url":"https://www.cve.org/CVERecord?id=CVE-2006-4392"},{"name":"CVE-2006-4399","url":"https://www.cve.org/CVERecord?id=CVE-2006-4399"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Apple du 29 septembre 2006 :","url":"http://docs.info.apple.com/article.html?artnum=304460"},{"title":"Avis du CERTA CERTA-2006-AVI-398, 'Vuln\u00e9rabilit\u00e9s dans    Adobe Flash Player', du 14 septembre 2006 :","url":"http://www.certa/ssi.gouv.fr/site/CERTA-2006-AVI-398/"}],"reference":"CERTA-2006-AVI-416","revisions":[{"description":"version initiale.","revision_date":"2006-10-03T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans le syst\u00e8me\nd'exploitation Apple Mac OS X, ainsi que certaines applications\nassoci\u00e9es \u00e0 ce syst\u00e8me, telles que Adobe Flash Player, Safari ou\nQuickDraw. L'exploitation de ces vuln\u00e9rabilit\u00e9s peut permettre \u00e0 une\npersonne malveillante d'\u00e9lever ses privil\u00e8ges localement, voire\nd'ex\u00e9cuter des commandes arbitraires \u00e0 distance.\n","title":"Plusieurs vuln\u00e9rabilit\u00e9s dans Apple Mac OS X et des applications associ\u00e9es","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Apple 2006-006 du 29 septembre 2006","url":null}]}