CERTA : Multiples vulnérabilités dans Apple Mac OS X
décembre 2007 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* contournement de la politique de sécurité ;
* élévation de privilèges.
2 Systèmes affectés
Mac OS X version 10.4.10 et les versions antérieures.
3 Résumé
De multiples vulnérabilités ont été découvertes dans Java pour Mac OS X.
4 Description
De multiples vulérabilités de Java pour Mac OS X ont été découvertes. Les
vulnérabilités les plus importantes permettent :
* un contournement de la politique de sécurité via une appliquette
spécialement conçue permettant la suppression et l’insertion d’objets ;
* une exécution de code arbitraire à distance et une élévation de privilèges
via une vulnérabilité de Java 1.4 ;
* une exécution de code arbitraire à distance et une élévation de privilèges
via une vulnérabilité de J2SE 5.0.
5 Solution
Se référer au bulletin de sécurité Apple 307177 pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité Apple 307177 du 12 décembre 2007 :
http://docs.info.apple.com/article.html?artnum=307177
* Référence CVE CVE-2006-4339 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4339
* Référence CVE CVE-2006-6731 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6731
* Référence CVE CVE-2006-6736 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6736
* Référence CVE CVE-2006-6745 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6745
* Référence CVE CVE-2007-0243 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0243
* Référence CVE CVE-2007-2435 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2435
* Référence CVE CVE-2007-2788 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2788
* Référence CVE CVE-2007-2789 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2789
* Référence CVE CVE-2007-3004 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3004
* Référence CVE CVE-2007-3005 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3005
* Référence CVE CVE-2007-3503 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3503
* Référence CVE CVE-2007-3504 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3504
* Référence CVE CVE-2007-3655 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3655
* Référence CVE CVE-2007-3698 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3698
* Référence CVE CVE-2007-3922 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3922
* Référence CVE CVE-2007-4381 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4381
* Référence CVE CVE-2007-5232 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5232
* Référence CVE CVE-2007-5862 :