S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 08 juin 2004
N° CERTA-2004-AVI-183
Affaire suivie par: CERT-FR
le 08 juin 2004

Avis du CERT-FR

Objet: Mise à jour de sécurité MacOS X

Gestion du document

Référence CERTA-2004-AVI-183
Titre Mise à jour de sécurité MacOS X
Date de la première version 08 juin 2004
Date de la dernière version 08 juin 2004
Source(s) Bulletin de sécurité APPLE-SA-2004-06-07
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • MacOS X versions 10.3.4 et antérieures.
  • MacOS X versions 10.2.8 et antérieures.

Résumé

Plusieurs vulnérabilités relatives à la gestion des URL affectent Mac OS X.

Description

Sous MacOS X, une application peut s'enregistrer (par le biais de l'interface Launch Services), pour être appellée lors de l'ouverture d'un type particulier d'URL.

Cette fonctionnalité, combinée avec d'autres techniques d'injection de code comme l'emploi du DiskImageMounter (disk://), peut être utilisée par un utilisateur mal intentionné afin de forcer l'exécution de code arbitraire à distance.


Une vulnérabilité relative à l'exécution de code à travers l'option "Afficher dans le Finder" de la fenêtre de téléchargements est également présente dans le navigateur SAFARI.

Solution

Appliquer le correctif livré par Apple :

Documentation

Gestion détaillée du document

    le 08 juin 2004
    version initiale.