S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 mai 2009
N^o CERTA-2009-AVI-186

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Multiples vulnérabilités dans Apple Mac OS X

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-186

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2009-AVI-186
Titre	Multiples vulnérabilités dans Apple Mac OS X
Date de la première version	13 mai 2009
Date de la dernière version	-
Source(s)	Bulletin de sécurité 2009-002 Apple du 12 mai 2009

Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance ;
déni de service à distance ;
contournement de la politique de sécurité ;
injection de code indirecte.

2 Systèmes affectés

Mac OS X version 10.5.6 ainsi que celles antérieures ;
Mac OS X Server version 10.5.6 ainsi que celles antérieures ;
Mac OS X version 10.4.11 ainsi que celles antérieures ;
Mac OS X Server version 10.4.11 ainsi que celles antérieures.

3 Résumé

Plusieurs vulnérabilités ont été identifiées dans le système d'exploitation Apple Mac OS X. L'exploitation de certaines d'entre elles peut conduire à l'exécution de code arbitraire à distance sur le système vulnérable.

4 Description

Plusieurs vulnérabilités ont été identifiées dans le système d'exploitation Apple Mac OS X. Elles touchent divers composants et services installés comme CFNetworks (manipulation des échanges HTTP), CoreGraphics (manipulation de fichiers PDF), Help Viewer (manipulation de l'URI help:), QuickDraw Manager (manipulation d'images PICT), Safari (manipulation de l'URI feed:), OpenSSL, PHP, WebKit, X11, etc.

L'exploitation de certaines de ces vulnérabilités peut conduire à l'exécution de code arbitraire à distance sur le système vulnérable.

5 Solution

Se référer au bulletin de sécurité 2009-002 de Apple pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

Bulletin de sécurité Apple 61798 du 12 mai 2009 :
```
http://docs.info.apple.com/article.html?artnum=61798
```
Détails concernant la mise à jour de sécurité 2009-002 du 12 mai 2009 :
```
http://support.apple.com/kb/HT3549
```
```
http://support.apple.com/kb/HT3397
```

Référence CVE CVE-2004-1184 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-1184

Référence CVE CVE-2004-1185 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-1185

Référence CVE CVE-2004-1186 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-1186

Référence CVE CVE-2006-0747 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0747

Référence CVE CVE-2007-2754 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2754

Référence CVE CVE-2008-0456 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0456

Référence CVE CVE-2008-1382 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1382

Référence CVE CVE-2008-1517 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1517

Référence CVE CVE-2008-2371 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2371

Référence CVE CVE-2008-2383 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2383

Référence CVE CVE-2008-2665 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2665

Référence CVE CVE-2008-2666 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2666

Référence CVE CVE-2008-2829 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2829

Référence CVE CVE-2008-2939 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2939

Référence CVE CVE-2008-3443 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3443

Référence CVE CVE-2008-3529 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3529

Référence CVE CVE-2008-3530 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3530

Référence CVE CVE-2008-3651 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3651

Référence CVE CVE-2008-3652 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3652

Référence CVE CVE-2008-3655 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3655

Référence CVE CVE-2008-3656 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3656

Référence CVE CVE-2008-3657 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3657

Référence CVE CVE-2008-3658 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3658

Référence CVE CVE-2008-3659 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3659

Référence CVE CVE-2008-3660 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3660

Référence CVE CVE-2008-3790 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3790

Référence CVE CVE-2008-3863 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3863

Référence CVE CVE-2008-4309 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4309

Référence CVE CVE-2008-5077 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5077

Référence CVE CVE-2008-5557 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5557

Référence CVE CVE-2009-0010 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0010

Référence CVE CVE-2009-0021 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0021

Référence CVE CVE-2009-0025 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0025

Référence CVE CVE-2009-0040 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0040

Référence CVE CVE-2009-0114 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0114

Référence CVE CVE-2009-0144 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0144

Référence CVE CVE-2009-0145 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0145

Référence CVE CVE-2009-0146 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0146

Référence CVE CVE-2009-0147 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0147

Référence CVE CVE-2009-0148 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0148

Référence CVE CVE-2009-0149 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0149

Référence CVE CVE-2009-0150 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0150

Référence CVE CVE-2009-0152 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0152

Référence CVE CVE-2009-0153 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0153

Référence CVE CVE-2009-0154 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0154

Référence CVE CVE-2009-0155 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0155

Référence CVE CVE-2009-0156 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0156

Référence CVE CVE-2009-0157 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0157

Référence CVE CVE-2008-0158 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0158

Référence CVE CVE-2009-0159 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0159

Référence CVE CVE-2009-0160 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0160

Référence CVE CVE-2009-0161 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0161

Référence CVE CVE-2009-0162 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0162

Référence CVE CVE-2009-0164 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0164

Référence CVE CVE-2009-0165 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0165

Référence CVE CVE-2009-0519 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0519

Référence CVE CVE-2009-0520 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0520

Référence CVE CVE-2009-0844 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0844

Référence CVE CVE-2009-0845 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0845

Référence CVE CVE-2009-0846 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0846

Référence CVE CVE-2009-0847 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0847

Référence CVE CVE-2009-0942 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0942

Référence CVE CVE-2009-0943 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0943

Référence CVE CVE-2009-0944 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0944

Référence CVE CVE-2009-0945 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0945

Référence CVE CVE-2009-0946 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0946

Gestion détaillée du document

13 mai 2009: version initiale.

CERTA
2012-01-04