Vidéo: Les mises à jour et le système Mac (Novembre 2024)
Apple a corrigé un certain nombre de vulnérabilités graves dans OS X, le navigateur Web Safari et une poignée de packages tiers dans le cadre d'une mise à jour substantielle. Les correctifs sont disponibles sur Software Update et les utilisateurs doivent s’assurer que les correctifs sont appliqués immédiatement.
Les mises à jour, qui concernent toutes les versions prises en charge d'OS X – Mountain Lion (10.8), Lion (10.7) et Snow Leopard (10.6) - ont permis de résoudre plusieurs failles d'exécution de code à distance dans le système d'exploitation et Safari, a déclaré Apple dans son avis publié hier.. Les correctifs traitaient également des problèmes liés à QuickTimes et à la mise en œuvre OpenSSL et Ruby sous OS X. Les insectes Ruby sont actuellement exploités à l'état sauvage.
Plusieurs vulnérabilités ont récemment été identifiées dans Ruby on Rails, la plus grave pouvant entraîner l’exécution de code par des attaquants à distance sur des systèmes exécutant des applications Rails. Apple a résolu huit vulnérabilités distinctes en mettant à jour Ruby on Rails sous OS X vers la version 2.3.18. Ce problème affectera probablement les systèmes OS X Lion ou OS X Mountain Lion mis à niveau à partir de Mac OS X 10.6.8 ou version antérieure, a déclaré Apple.
Corrections OS X
Apple a corrigé plusieurs bogues d'exécution de code à distance dans le système d'exploitation. Les pirates pourraient exploiter l'une de ces faiblesses du composant CoreAnimation, dans laquelle tout ce que l'utilisateur a à faire est de rechercher une URL créée de manière malveillante afin de la compromettre. Un autre bug dans le composant Playback pourrait être exploité avec un fichier vidéo malicieux, a déclaré Apple. QuickTime corrige des failles d’exécution de code à distance susceptibles d’être exploitées par des fichiers MP3, FPX, QTIF et autres fichiers mal conçus.
Un autre problème grave lié à l’exécution de code à distance concernait le service d’annuaire, mais ne concernait que les utilisateurs des systèmes Snow Leopard qui avaient activé le service. Le service d'annuaire suit toutes les informations d'authentification des utilisateurs et des groupes à l'aide de diverses plates-formes, notamment le partage de fichiers Active Directory, LDAP, AppleTalk et SMB. Apple a remplacé Diectory Service par Open Directory dans Lion et Mountaion Lion.
Les pirates pourraient exploiter cette faille en envoyant un message malveillant sur le réseau afin de provoquer le blocage du serveur d'annuaire ou l'exécution de code à distance, a déclaré Apple.
OpenSSL, Problèmes Safari
Apple a résolu 13 problèmes dans OpenSSL, l'un d'entre eux autorisant des attaquants à lancer l'attaque CRIME, un attaquant pouvant déchiffrer des sessions protégées par SSL. L'attaque par compression sur TLS 1.0 a été développée par les chercheurs en sécurité Thai Duong et Juliano Rizzo.
La nouvelle version 6.0.5 de Safari a corrigé 23 vulnérabilités distinctes d’exécution de code à distance et trois failles de script intersite. Les problèmes étaient tous liés au moteur WebKit qui alimente le navigateur.
"Plusieurs problèmes de corruption de mémoire existaient dans WebKit", a déclaré Apple dans son avis.
Ces problèmes exposent les utilisateurs Mac à des attaques d’infection par navigation, et les attaquants pourraient exécuter du code en dehors du navigateur et directement sur le système sans nécessiter l’autorisation de l’utilisateur. Les bogues de script entre sites permettent également aux attaquants de créer des sites malveillants contenant des éléments de pages légitimes pour inciter les utilisateurs à croire que ces sites usurpés sont dignes de confiance.
Obtenir cette mise à jour
Les utilisateurs qui utilisent la mise à jour de logiciels Apple obtiennent automatiquement la mise à jour correcte. Les utilisateurs qui décident de le faire manuellement devront se procurer la mise à jour OS X 10.8.4 (qui inclut Safari 6.0.5) pour Mountaion Lion et la mise à jour de sécurité 2013-002 (qui n'inclut pas la mise à jour Safari) pour Snow Leopard et Lion. systèmes. Veuillez noter que Snow Leopard ne dispose pas de la nouvelle version de Safari car elle est toujours disponible sur Safari 5.
