Risques
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
Apple Mac OS X versions v10.5.3 et antérieures.
Résumé
Plusieurs vulnérablités concernant le système d'exploitation Apple Mac OS X ont été corrigées.
Description
Plusieurs vulnérablités ont été corrigées :
- Alias Manager : un alias spécifiquement créé permet l'exécution de code arbitraire ;
- CoresTypes : des contenus incertains peuvent être ouverts automatiquement ;
- c++filt : une chaine de caratères spécifiquement créée permet l'exécution de code arbitraire ;
- Dock : une personne ayant physiquement accès à la machine peut contourner l'écran de verrouillage ;
- Launch Services : du code malveillant peut être exécuté via un site Web malveillant ;
- Net-SNMP : il est possible de contrefaire un paquet SNMPv3 ;
- Ruby : une chaine de caractères ou un tableau spécifiquement créé permet l'exécution de code arbitraire ;
- SMB File Server : une trame SMB spécialement réalisée permet l'exécution de code arbitraire ;
- System Configuration : un utilisateur local peut exécuter du code arbitraire avec les droits de nouveaux utilisateurs ;
- Tomcat : plusieurs vulnérabilités affectent le logiciel dont une permettant des attaques de type Cross Site Scripting ;
- VPN : un attaquant peut réaliser un déni de service à distance à l'aide de paquets UDP spécifiquement créés ;
- Webkit : du code malveillant peut être exécuté via un site Web malveillant.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apple 2008-004 du 30 juin 2008 : http://support.apple.com/kb/HT2163
- Référence CVE CVE-2005-3164 https://www.cve.org/CVERecord?id=CVE-2005-3164
- Référence CVE CVE-2007-1355 https://www.cve.org/CVERecord?id=CVE-2007-1355
- Référence CVE CVE-2007-2449 https://www.cve.org/CVERecord?id=CVE-2007-2449
- Référence CVE CVE-2007-2450 https://www.cve.org/CVERecord?id=CVE-2007-2450
- Référence CVE CVE-2007-3382 https://www.cve.org/CVERecord?id=CVE-2007-3382
- Référence CVE CVE-2007-3383 https://www.cve.org/CVERecord?id=CVE-2007-3383
- Référence CVE CVE-2007-3385 https://www.cve.org/CVERecord?id=CVE-2007-3385
- Référence CVE CVE-2007-5333 https://www.cve.org/CVERecord?id=CVE-2007-5333
- Référence CVE CVE-2007-5461 https://www.cve.org/CVERecord?id=CVE-2007-5461
- Référence CVE CVE-2007-6276 https://www.cve.org/CVERecord?id=CVE-2007-6276
- Référence CVE CVE-2008-0960 https://www.cve.org/CVERecord?id=CVE-2008-0960
- Référence CVE CVE-2008-1105 https://www.cve.org/CVERecord?id=CVE-2008-1105
- Référence CVE CVE-2008-1145 https://www.cve.org/CVERecord?id=CVE-2008-1145
- Référence CVE CVE-2008-2307 https://www.cve.org/CVERecord?id=CVE-2008-2307
- Référence CVE CVE-2008-2308 https://www.cve.org/CVERecord?id=CVE-2008-2308
- Référence CVE CVE-2008-2309 https://www.cve.org/CVERecord?id=CVE-2008-2309
- Référence CVE CVE-2008-2310 https://www.cve.org/CVERecord?id=CVE-2008-2310
- Référence CVE CVE-2008-2311 https://www.cve.org/CVERecord?id=CVE-2008-2311
- Référence CVE CVE-2008-2313 https://www.cve.org/CVERecord?id=CVE-2008-2313
- Référence CVE CVE-2008-2314 https://www.cve.org/CVERecord?id=CVE-2008-2314
- Référence CVE CVE-2008-2662 https://www.cve.org/CVERecord?id=CVE-2008-2662
- Référence CVE CVE-2008-2663 https://www.cve.org/CVERecord?id=CVE-2008-2663
- Référence CVE CVE-2008-2664 https://www.cve.org/CVERecord?id=CVE-2008-2664
- Référence CVE CVE-2008-2725 https://www.cve.org/CVERecord?id=CVE-2008-2725
- Référence CVE CVE-2008-2726 https://www.cve.org/CVERecord?id=CVE-2008-2726
