Une nuée de correctifs pour Mac OS X

Cloud

Le dernier ensemble de correctifs proposé par Apple colmate pas moins de 44 failles de sécurité de son système d’exploitation.

Apple a publié un ensemble de correctifs destinés à colmater 44 brèches de sécurité dans son système d’exploitation Mac OS X pour serveurs et machines de bureau. Si ce patch est l’un des plus importants en termes de nombre de failles corrigées, sa taille est relativement réduite : entre 13,3 et 26,9 Mo en fonction du système d’exploitation utilisé.

Plusieurs correctifs sont destinés à protéger les utilisateurs contre des attaques par débordement de mémoire tampon (buffer overflow) ou encore à les empêcher de contourner certains paramètres de sécurité. C’est pourquoi le spécialiste de la sécurité informatique Secunia a classé le correctif global au niveau « hautement critique », son deuxième plus haut niveau sur une échelle de cinq.

Des brèches dans l’AppKit

Trois failles, dont deux peuvent donner lieu à des attaques par débordement de mémoire tampon, concernent l’AppKit, un composant du système d’exploitation permettant aux développeurs tiers de construire leurs applications. L’AppKit comprend notamment des interfaces de programmation d’applications (API) ainsi que des objets pour les interfaces graphiques.

L’une des brèches de ce service peut autoriser un hacker à provoquer un débordement de mémoire grâce à un fichier RTF (Rich Text format), tandis qu’une autre peut causer les mêmes effets via l’utilisation d’un fichier Word (.doc) de Microsoft. Mais seules les applications utilisant l’AppKit sont affectées, le logiciel Word de Microsoft n’est donc pas vulnérable. La troisième faille de l’AppKit permettrait à un utilisateur malintentionné et disposant d’un accès physique au système de créer de nouveaux comptes d’utilisateurs.

Le navigateur Safari profite également d’un correctif protégeant les utilisateurs de l’exécution d’un code arbitraire via un simple clic sur un lien. Dans certaines conditions, le logiciel permettait en effet aux sites Web d’outrepasser ses contrôles de sécurité. Une autre faille du navigateur concernant l’envoi d’informations via des formulaires a également été corrigée.

Des applications open source mises à jour

Trois failles ont été colmatées dans la version serveur de Mac OS X, dont l’une permettait aux utilisateurs de créer et supprimer des comptes sans disposer des droits d’administrateur. Plusieurs applications tierces sont également concernées par le correctif global, notamment le serveur Web Apache 2 livré avec Mac OS X Serveur, le logiciel d’authentification Kerberos ou encore le compresseur de fichiers Zlib.

Les autres rustines peuvent être considérées comme de simples mises à jour du système d’exploitation. Un problème concernant le service CUPS, qui plantait lorsqu’il devait traiter plusieurs travaux d’impression simultanément ou en cas de requête incomplète, a ainsi été réglé. Des patches différents pour Mac OS X 10.4.2 et 10.3.9 sont disponibles en téléchargement sur le site d’Apple ou via le service de mise à jour du système d’exploitation.

(Article traduit de VNUnet.com)