Et pour la troisième fois de l'année, voici la nouvelle mise à jour de sécurité proposée par Apple, pour notre OS adoré. Cette mise à jour qui s'appelle Security Update 2005-003 est livrée en version 1.0.

Cette mise à jour est disponible via le module de Mise à jour des logiciels, (15,4Mo) , ou directement sur le site d'Apple. 

Voici les corrections apportées par cette nouvelle mise à jour :



Voici le lien pour télécharger cette mise à jour :





Voici les corrections apportées par cette nouvelle mise à jour :



Voici le lien pour télécharger cette mise à jour :





[MAJ]

Voici enfin en français le détail des corrections :

À propos de Security Update 2005-003

Ce document fournit une description de la mise à jour de sécurité 2005-003, qu’il est possible de télécharger et d’installer grâce à l’option Mise à jour de logiciels ou depuis la page des Téléchargements de logiciels Apple.

Dans un souci de protection de sa clientèle, Apple s’engage à ne pas divulguer, commenter ou confirmer les problèmes de sécurité tant qu’une enquête complète n’a pas été menée et que des correctifs ou d’autres versions ne sont pas disponibles. Pour en savoir plus sur la sécurité des produits Apple, rendez-vous sur la page Apple Product Security du site Web d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Security Update 2005-003

• Serveur AFP
  Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
  Référence CVE : CAN-2005-0340
  Conséquences : un paquet de données constitué à cet effet peut attaquer le serveur AFP avec un refus de service.
  Description : un paquet de données constitué à cet effet interrompt le fonctionnement du serveur AFP à cause d'une référence de mémoire incorrecte. Nous remercions Braden Thomas pour avoir signalé ce problème.

• Serveur AFP
  Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
  Référence CVE : CAN-2005-0715
  Conséquences : il est possible de découvrir le contenu d'une boîte de dépôt.
  Description : répare la vérification des permissions de fichiers pour l'accès aux boîtes de dépôt. Nous remercions John M. Glenn (San Francisco) pour avoir signalé ce problème.

• Assistant réglages Bluetooth
  Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
  Référence CVE : CAN-2005-0713
  Conséquences : violation de sécurité locale lors de l'utilisation d'un périphérique d'entrée Bluetooth.
  Description : il est possible de lancer l'Assistant réglages Bluetooth sur des systèmes sans clavier ou équipés d'un périphérique d'entrée Bluetooth préconfiguré. Dans ces cas, l'accès à certaines fonctions disposant de privilèges a été désactivé au sein de l'Assistant réglages Bluetooth.

• Core Foundation
  Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
  Référence CVE : CAN-2005-0716
  Conséquences : dépassement de mémoire tampon via une variable d'environnement.
  Description : la gestion incorrecte d'une variable d'environnement au sein de Core Foundation peut conduire à un dépassement de mémoire tampon permettant d'exécuter du code arbitraire. Ce problème a été résolu par la gestion correcte de la variable d'environnement. Nous remercions iDEFENSE et Adriano Lima (SeedSecurity.com) pour avoir signalé ce problème.

• Cyrus IMAP
  Disponible pour : Mac OS X Server v10.3.8
  Références CVE : CAN-2004-1011, CAN-2004-1012, CAN-2004-1013, CAN-2004-1015, CAN-2004-1067
  Conséquences : vulnérabilité multiples dans Cyrus IMAP, notamment des refus de service et des dépassements de mémoire tampon exploitables à distance.
  Description : la mise à jour 2.2.12 de Cyrus IMAP comprend des correctifs pour les dépassements de mémoire tampon dans fetchnews, backend, proxyd et imapd. Pour tout renseignement complémentaire, consultez
  http://asg.web.cmu.edu/cyrus/download/imapd/changes.html.

• Cyrus SASL
  Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
  Références CVE : CAN-2002-1347, CAN-2004-0884
  Conséquences : vulnérabilités multiples dans Cyrus ASL, notamment des refus de service à distance et une exécution possible de code distant dans des applications utilisant cette bibliothèque.
  Description : mise à jour de Cyrus SASL comprenant des correctifs pour plusieurs risques potentiels de sécurité causés par une validation de données, une allocation de mémoire et une gestion de données incorrectes.

• Permissions de dossiers
  Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
  Référence CVE : CAN-2005-0712
  Conséquences : permissions d'écriture complète sur plusieurs répertoires, permettant des conditions de course de fichiers ou une augmentation des privilèges locaux.
  Description : application de permissions de dossier dans le but de protéger le cache de réception du programme d'installation et les profils ColorSync de niveau système. Nous remercions Eric Hall (DarkArt Consulting Services), Michael Haller (info@cilly.com) et (root at addcom.de) pour avoir signalé ce problème.

• Mailman
  Disponible pour : Mac OS X Server v10.3.8
  Référence CVE : CAN-2005-0202
  Conséquences : problème de parcours de répertoire dans Mailman pouvant permettre l'accès à des fichiers arbitraires.
  Description : Mailman est un logiciel fournissant une gestion de listes de distribution. Cette mise à jour résout un risque potentiel dans la gestion de l'archivage privé de Mailman qui permettait un accès distant à des fichiers arbitraires du système. Pour tout renseignement complémentaire, consultez
  http://www.gnu.org/software/mailman/security.html.

• Safari
  Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
  Référence CVE : CAN-2005-0234
  Conséquences : des noms internationaux de domaine (IDN) malveillants peuvent rendre leurs URL visuellement semblables à celles de sites légitimes.
  Description : la prise en charge de caractères Unicode au sein de noms de domaine (prise en charge des noms internationaux de domaines) permet à des noms de domaines enregistrés de manière malveillante de ressembler à ceux de sites légitimes. Safari a été modifié de telle sorte qu'il consulte une liste personnalisable par l'utilisateur de scripts qui ont l'autorisation d'être affichés de manière native. Les caractères basés sur des scripts n'appartenant pas à cette liste sont affichés dans leur équivalent Punycode. La liste des scripts autorisés par défaut ne comprend pas de script ressemblant à des scripts latins. Nous remercions Eric Johanson (eric@shmoo.com) pour avoir signalé ce problème. Pour plus de renseignements, consultez cet article.

• Samba
  Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
  Références CVE : CAN-2004-0882, CAN-2004-0930, CAN-2004-1154
  Conséquences : des vulnérabilités multiples dans Samba comprenant un refus de service à distance et l'exécution distante possible de commandes arbitraires
  Description : Plusieurs vulnérabilités de sécurité ont été résolues dans les plus récentes versions de Samba. La mise à jour 2005-003 installe Samba version 3.0.10 afin de fournir ces correctifs. Des renseignements supplémentaires sont disponibles sur le site de sécurité de Samba à
  http://www.samba.org/samba/history/security.html.

• SquirrelMail
  Disponible pour : Mac OS X Server v10.3.8
  Références CVE : CAN-2004-1036, CAN-2005-0075, CAN-2005-0103, CAN-2005-0104
  Conséquences : vulnérabilités multiples dans Squirrelmail, notamment scriptage croisé entre sites et injection de code HTML
  Description : SquirrelMail 1.4.4 résout plusieurs problèmes de sécurité, notamment un ensemble de risques liés au scriptage croisé entre sites et la possibilité d'utiliser webmail.php pour inclure des pages Web depuis des serveurs distants. CAN-2005-0075 est un problème résolu dans SquirrelMail 1.4.4, mais qui n'affecte pas la configuration par défaut de Mac OS X puisque register_globals n'est pas activé. Des renseignements supplémentaires sont disponibles sur le site de sécurité de SquirrelMail situé à
  http://www.squirrelmail.org/changelog.php.

• Telnet
  Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
  Références CVE : CAN-2005-0468, CAN-2005-0469
  Conséquences : les serveurs telnet malveillants peuvent causer l'exécution de code local
  Description : cette mise à jour résout deux dépassements de mémoire tampon dans le client telnet qui pouvaient permettre l'exécution de code local par un serveur telnet malveillant. Nous remercions iDEFENSE pour avoir signalé ce problème.

[/MAJ]