Apple corrige des failles « extrêmement critiques » de Mac OS X

Cloud

La mise à jour résout différents problèmes liés au système d’exploitation et aux applications d’Apple.

Apple a publié une mise à jour de sécurité destinée à réparer cinq vulnerabilities de Mac OS X et des applications liées à son système d’exploitation. Ce correctif résout notamment les problèmes causés par une mise à jour proposée par la firme deux semaines auparavant afin de colmater les failles exploitées par une série de vers et de code malveillants.

La principale vulnérabilité pourrait laisser un assaillant exécuter un code arbitraire sur la machine de l’utilisateur en utilisant le navigateur Safari ou l’application Mail. Si Apple ne précise pas le degré d’importance de ses mises à jour, la firme de sécurité Secunia considère ce correctif comme « extrêmement critique », soit son plus haut niveau de dangerosité.

En ce qui concerne Safari, le navigateur est susceptible d’ouvrir automatiquement un fichier malveillant modifié de façon à apparaître comme un type de fichiers ne présentant aucun risque. La mise à jour introduit donc des vérifications supplémentaires des fichiers téléchargés afin de s’assurer de leur vraie nature.

Ce correctif résout également le problème des fichiers archives contenant du code JavaScript, lesquels sont capables, sous certianes conditions, de passer outre les paramètres de sécurité de Mac OS X. Ces fichiers seront dorénavant marqués comme non sûrs par le système, qui préviendra l’utilisateur avant leur téléchargement.

Un autre patch prévient les attaques par débordement de mémoire tampon (buffer overflow) via l’application Mail d’Apple, qui peuvent être lancées en incitant un utilisateur à ouvrir un fichier modifié en ce sens et attaché dans un e-mail. Une nouvelle fonction de vérification des fichiers attachés a donc été implémentée pour s’assurer de la taille de certains paramètres et empêcher ainsi les buffer overflows.

Enfin, Apple a corrigé le problème causé par la précédente mise à jour, qui a amené le service de validation des téléchargements de Mac OS X à signaler aux utilisateurs comme « non sûrs » des fichiers téléchargés ne posant aucun problème. « Ces avertissements inutiles n’arriveront plus avec la mise à jour », écrit ainsi Apple dans son bulletin de sécurité. Les utilisateurs peuvent appliquer le correctif via la fonction de mise à jour du système d’exploitation ou bien le télécharger manuellement sur le site Web d’Apple.

(Traduction d’un article de VNUnet.com en date du 14 mars 2006)