 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 23 juin 2005
No CERTA-2005-AVI-034-001 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Mac OS X
Tableau 1: Gestion du document
| Référence |
CERTA-2005-AVI-034-001 |
| Titre |
Multiples
vulnérabilités dans Mac OS X |
| Date de la première
version |
27 janvier 2005 |
| Date de la dernière
version |
23 juin 2005 |
| Source(s) |
Bulletin de
sécurité d'Apple du 21 janvier
2005 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Elévation de privilèges ;
- déni de service ;
- exécution de code arbitraire à
distance.
- Mac OS X v10.2.8 ;
- Mac OS X v10.3.7 ;
- Mac OS X Server v10.2.8 ;
- Mac OS X Server v10.3.7.
De multiples vulnérabilités découvertes
dans le système d'exploitation Mac OS X d'Apple peuvent
être exploitées par un utilisateur mal
intentionné afin de réaliser un déni de
service, d'exécuter du code arbitraire à
distance, ou d'élever ses privilèges.
- Une vulnérabilité affecte les commandes de
la famille at, permettant d'élever les
privilèges (référence CVE
CAN-2005-0125). La mise à jour concerne les commandes
at, atrm, batch, atq, et
atrun ;
- une vulnérabilité affecte le composant
ColorSync. Un utilisateur mal intentionné
peut, par le biais de profils de couleur ICC mal
formés, exécuter du code arbitraire
(référence CVE CAN-2005-0126) ;
- une vulnérabilité décrite dans
l'avis CERTA-2004-AVI-361 affecte la bibliothèque
libxml2 (référence CVE CAN-2004-0989)
;
- une vulnérabilité affecte le composant
Mail. Des informations relatives à la carte
réseau sont ajoutées dans l'en-tête des
messages (référence CVE CAN-2005-0127) ;
- de multiples vulnérabilités décrites
dans l'avis CERTA-2004-AVI-405 affectent le composant
PHP. L'exploitation de ces
vulnérabilités permet de réaliser un
déni de service ou l'exécution de code
arbitraire à distance (référence CVE
CAN-2003-0860, CAN-2003-0863, CAN-2004-0594, CAN-2004-0595,
CAN-2004-1018, CAN-2004-1019, CAN-2004-1020, CAN-2004-1063,
CAN-2004-1064, CAN-2004-1065). L'application du correctif
d'Apple met à jour PHP en version 4.3.10
;
- une vulnérabilité affecte le navigateur
Safari. Si la fontionnalité de blocage des
fenêtres pop-up n'est pas activée, un
utilisateur peut être trompé sur le contenu
d'une telle fenêtre (référence CVE
CAN-2004-1314) ;
- une vulnérabilité de type cross-site
scripting affecte SquirrelMail
(référence CVE CAN-2004-1036).
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 27 janvier 2005
- version initiale.
- 23 juin 2005
- ajout de la référence au bulletin de
sécurité SGI
CERTA
2012-01-04
|
|
)
