Risques

  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • MacOS X Server v10.3.9 ;
  • MacOS X Server v10.4.9 ou une version plus ancienne.
  • MacOS X v10.3.9 ;
  • MacOS X v10.4.9 ou une version plus ancienne ;

Résumé

Deux vulnérabilités ont été identifiées dans le système d'exploitation MacOS X. Leur exploitation, par le biais d'une navigation sur une page malveillante, peut entraîner une injection de code indirecte (cross-site scripting), un dysfonctionnement de l'application voire l'exécution de code arbitraire sur le système vulnérable.

Description

Deux vulnérabilités ont été identifiées dans le système d'exploitation MacOS X.

  • WebCore, et en particulier XMLHttpRequest ne manipulerait pas correctement certaines requêtes HTTP. Cette vulnérabilité pourrait amener un utilisateur naviguant sur une page malveillante à conduire une attaque par injection de code indirecte (cross-site scripting) ;
  • WebKit ne convertirait pas correctement certains types au cours du rendu des cadres dans une page, pouvant provoquer une corruption de la mémoire. Cette vulnérabilité peut être exploitée par le biais d'une page Web spécialement construite : celle-ci provoquerait un dysfonctionnement de l'application voire l'exécution de code arbitraire sur le système vulnérable.

Solution

Se référer au bulletin de sécurité 2007-006 de l'éditeur Apple pour l'obtention des correctifs (cf. section Documentation).

Documentation