Apple corrige treize failles dans sa dernière mise à jour
Les correctifs sont désormais disponibles pour réparer les vulnérabilités
observées au niveau de treize composants de Mac OS X.
(Correction 25/06/07) Apple a publié des correctifs de sécurité pour treize composants de son système d’exploitation OS X.
La vulnérabilité la plus sérieuse se situe au niveau du composant OS X CoreGraphics. Cette faille permet à un pirate d’exécuter du code à distance sur une machine grâce à un fichier PDF spécialement programmé. La vulnérabilité affecte uniquement les systèmes OS X 10.4.9 et OS X Server 10.4.9.
Apple n’a pas précisé si l’exécution de code était réduite aux privilèges limités de l’utilisateur actuel ou si l’attaquant peut exécuter du code avec les droits root (du super-utilisateur) [et non des fichiers racines, comme précédemment indiqué, ndlr].
Les pirates peuvent également cibler un fichier d’OS X pour exécuter du code à distance. Cette vulnérabilité affecte toutes les versions de MacOS 10.3 et 10.4.
Aucun autre composant n’est affecté par des vulnérabilités d’exécution distante, considérées comme les failles les plus graves de toutes.
Une faille au niveau du composant Fetchmail permet de dérober le mot de passe de messagerie d’un utilisateur. Fetchmail sert à télécharger des e-mails sur le disque dur d’une machine d’un utilisateur. Apple a précisé que le composant pouvait ne pas crypter correctement le mot de passe.
Des vulnérabilités observées dans le logiciel de messagerie iChat d’Apple et dans le composant système mDNSResponder ont également été corrigées. Les deux vulnérabilités pouvaient être exploitées pour exécuter du code à distance à condition que le pirate se trouve sur le réseau local de la machine cible.
L’éditeur a par ailleurs corrigé une vulnérabilité au niveau du traitement des images disque sous OS X. En parvenant à convaincre l’utilisateur de monter deux images disque de même nom, un pirate peut faire apparaître un programme malveillant comme une application ou un document légitime.
La mise à jour de sécurité est disponible via le composant de mise à jour logiciel d’Apple ou peut être téléchargée sur le site Web du fabricant.
Traduction d’un article de Vnunet.com en date du 24 mai 2007