Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Apple Safari 3.x pour Mac OS X 10.4 et Mac OS X 10.5.
- Apple Safari 3.x pour Windows ;
Résumé
De multiples vulnérabilités permettant l'exécution de code arbitraire à distance ont été corrigées dans Apple Safari.
Description
Plusieurs vulnérabilités ont été corrigées dans Apple Safari :
- une vulnérabilité de type débordement de mémoire dans libxml permet l'exécution de code arbitraire à distance (CVE-2008-3529) ;
- des vulnérabilités liées à une mauvaise validation de certaines entrées dans le traitement d'URLs de type feed: permettent l'exécution de code arbitraire à distance (CVE-2009-0162) ;
- une vulnérabilité de type corruption de mémoire dans le traitement d'objets SVGList par WebKit permet l'exécution de code arbitraire à distance (CVE-2009-0945).
Solution
Se référer au bulletin de sécurité HT3550 de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Les mises à jour sont également disponibles dans le correctif cumulatif 2009-002 pour Mac OS X (bulletin HT3549) qui a fait l'objet de l'avis CERTA-2009-AVI-186.
Documentation
- Bulletin de sécurité Apple HT3550 du 12 mai 2009 http://docs.info.apple.com/article.html?artnum=HT3550
- Avis CERTA-2009-AVI-186 du 13 mai 2009 : http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-186/index.html
- Bulletin de sécurité Apple HT3549 du 12 mai 2009 : http://docs.info.apple.com/article.html?artnum=HT3549
- Référence CVE CVE-2008-3529 https://www.cve.org/CVERecord?id=CVE-2008-3529
- Référence CVE CVE-2009-0162 https://www.cve.org/CVERecord?id=CVE-2009-0162
- Référence CVE CVE-2009-0945 https://www.cve.org/CVERecord?id=CVE-2009-0945
