On en rêvait, Apple l'a fait. Non je ne parle pas du nouveau Mac mini que tout le monde s'arrache, mais de la première mise à jour de sécurité de l'année. Et nouvelle année, implique nouvelle dénomination : Security Update 2005-001 et livrée en version 1.0.

Faite chauffer vos modems, en ces temps très froid sur l'ensemble de la France, pour récupérer via le module de mise à jour des logiciels, les 6,8Mo de données qui la composent, ou rendez-vous directement sur le site d'Apple. 

Alors que devons nous retenir pour cette mise à jour importante :



Vous pouvez télécharger directement ce patch ici :









Tous les versions de notre OS préférées sont touchées de près ou de loin par cette mise à jour. La preuve en est, en lisant ces quelques lignes :

Mise à jour de sécurité 2005-001

• Composant : commandes “at”
  Disponible pour : Mac OS X v10.3.7, Mac OS X Server v10.3.7
  Référence CVE : CAN-2005-0125
  Conséquences : met à jour les commandes “ at ” pour résoudre un problème lié aux privilèges locaux
  Description : la famille de commandes “ at ” ne permettait pas de modifier des privilèges de façon opportune. Un utilisateur local pouvait ainsi supprimer des fichiers ne lui appartenant pas, exécuter des programmes avec des privilèges étendus ou lire le contenu de fichiers en principe non lisibles. Cette mise à jour permet de corriger les erreurs associées aux commandes at, atrm, batch, atq et atrun. Merci à kf_lists[at]digitalmunition[dot]com d’avoir signalé ce problème.
  
  
• Composant : ColorSync
  Disponible pour : Mac OS X v10.3.7, Mac OS X Server v10.3.7, Mac OS X v10.2.8, Mac OS X Server v10.2.8
  Référence CVE : CAN-2005-0126
  Conséquences : des profils colorimétriques ICC incorrects étaient susceptibles de supprimer le tas du programme, entraînant l’exécution d’un code arbitraire.
  Description : un profil colorimétrique ICC de type “ OOS ” (out-of-specification) ou mal intégré pouvait supprimer le tas du programme et entraîner l’exécution d’un code arbitraire. Il n’existe aucune solution connue pour ce problème. Cette mise à jour va permettre à ColorSync de rejeter les profils colorimétriques ICC incorrects.
  
  
• Composant : libxml2
  Disponible pour : Mac OS X v10.3.7, Mac OS X Server v10.3.7
  Référence CVE : CAN-2004-0989
  Conséquences : la bibliothèque libxml2 contient du code non sécurisé susceptible d’être exploité par les applications y faisant appel.
  Description : cette mise à jour corrige les erreurs liées à plusieurs fonctions de la bibliothèque libxml2 ayant été identifiées comme non sécurisées en raison de débordements de la mémoire tampon.
  
  
• Composant : Mail
  Disponible pour : Mac OS X v10.3.7 Client, Mac OS X Server v10.3.7
  Référence CVE : CAN-2005-0127
  Conséquences : des e-mails envoyés depuis un ordinateur unique peuvent être identifiés
  Description : Un GUUID contenant un identifiant associé au matériel réseau Ethernet était utilisé dans la construction d’un en-tête d’ID de message RFC-822 requis. Mail masque désormais ces informations en calculant l’ID de message à l’aide d’une fonction de hachage cryptographique du GUUID concaténé avec des données issues de /dev/random. Merci à Carl Purvis d'avoir signalé ce problème.
  
  
• Composant : PHP
  Disponible pour : Mac OS X v10.3.7, Mac OS X Server v10.3.7, Mac OS X v10.2.8, Mac OS X Server v10.2.8
  Référence CVE : CAN-2003-0860, CAN-2003-0863, CAN-2004-0594, CAN-2004-0595, CAN-2004-1018, CAN-2004-1019, CAN-2004-1020, CAN-2004-1063, CAN-2004-1064, CAN-2004-1065
  Conséquences : nombreuses vulnérabilités dans PHP, dont le déni de service à distance et l’exécution d’un code arbitraire
  Description : la mise à jour 4.3.10 de PHP corrige plusieurs problèmes. La mise à jour 4.3.10 de PHP est décrite à l’adresse http://www.php.net/release_4_3_10.php.
  
  
• Composant : Safari
  Disponible pour : Mac OS X v10.3.7, Mac OS X Server v10.3.7, Mac OS X v10.2.8, Mac OS X Server v10.2.8
  Référence CVE : CAN-2004-1314
  Conséquences : Si la fonction de blocage des fenêtres intempestives de Safari n’est pas activée, une fenêtre indésirable risque de s’afficher comme provenant d’un site sécurisé.
  Description : si la fonction de blocage des fenêtres intempestives est activée, ce problème ne se produit pas. Si cette fonction n’est pas activée, un utilisateur peut être induit en erreur quant au contenu d’une fenêtre intempestive s’il a utilisé un lien non sécurisé pour accéder à un site qu’il souhaite visualiser. Cette mise à jour corrige le problème quel que soit l’état d’activation de la fonction de blocage des fenêtres intempestives. Merci à Secunia Research d'avoir signalé ce problème.
  
  
• Composant : SquirrelMail
  Disponible pour : Mac OS X Server 10.3.7
  Référence CVE : CAN-2004-1036
  Conséquences : la mise à jour de SquirrelMail permet de résoudre un problème de vulnérabilité des scripts HTML
  Description : un problème de vulnérabilité des scripts HTML dans SquirrelMail permettait la présence dans des e-mails de contenu pouvant être affiché dans le navigateur Web d’un utilisateur. La mise à jour de SquirrelMail corrige ce problème. Pour plus d’informations, consultez le site Web de SquirrelMail à l’adresse : http://www.squirrelmail.org/.