Apple corrige 20 vulnérabilités critiques dans MacOS X

Les failles permettent à peu près toutes les attaques à distance ou locale possibles et imaginables

Quelques jours après la sortie de son nouveau système d’exploitation Tiger, Apple en profite pour faire le ménage dans ses OS précédents. Et le constructeur ne fait pas les choses à moitié puisqu’il corrige pas moins de 20 vulnérabilités « critiques » permettant à des attaquants locaux ou distants de compromettre un système vulnérable, de causer un déni de service, ou d’obtenir des privilèges élevés.

Selon le site de veille FrSIRT, les failles se trouvent dans de nombreux programmes, composants et éléments: -Apache htdigest (exécution de commandes arbitraires), -AppKit (exécution de commandes arbitraires), -Applescript (spoofing), Bluetooth file exchange (accès à des fichiers arbitraires), -Bluetooth file et object exchange (accès à des fichiers arbitraires), -chfn/chpass/chsh (augmentation des privilèges), Finder (non vérification des permissions), -Foundation framework (exécution de commandes arbitraires), -Help Viewer (exécution de code javascript arbitraire), -LDAP (mots de passe en clair), -libXpm (exécution de commandes arbitraires et déni de service), -lukemftpd (augmentation des privilèges), -Netinfo Setup Tool (exécution de commandes arbitraires), -HTTP proxy (mauvaises restrictions sécuritaires), -Sudo (mauvaises restrictions sécuritaires), -Terminal (injection de commandes arbitraires) et -« vpnd » (exécution de commandes arbitraires). Cette importante série de vulnérabilités, qui a dit que MacOS était exempt de failles?, impacte Mac OS X version 10.3.9 et inférieures ainsi que Mac OS X Server version 10.3.9 et inférieures. Au choix: appliquer les patchs disponibles sur le site de l’éditeur ou migrer vers Tiger.