Apple vient de publier une mise à jour de sécurité pour Mac OS X, elle corrige vingt vulnérabilités qui pourraient être exploitées par des attaquants locaux ou distants afin de compromettre un système vulnérable, causer un déni de service, ou obtenir des privilèges élevés. Les problèmes se situent aux niveaux des programmes : Apache htdigest (exécution de commandes arbitraires), AppKit (exécution de commandes arbitraires), Applescript (spoofing), Bluetooth file exchange (accès à des fichiers arbitraires), Bluetooth file et object exchange (accès à des fichiers arbitraires), chfn/chpass/chsh (augmentation des privilèges), Finder (non vérification des permissions), Foundation framework (exécution de commandes arbitraires), Help Viewer (exécution de code javascript arbitraire), LDAP (mots de passe en clair), libXpm (exécution de commandes arbitraires et déni de service), lukemftpd (augmentation des privilèges), Netinfo Setup Tool (exécution de commandes arbitraires), HTTP proxy (mauvaises restrictions sécuritaires), Sudo (mauvaises restrictions sécuritaires), Terminal (injection de commandes arbitraires) et "vpnd" (exécution de commandes arbitraires).
Crédit
Vulnérabilités découvertes par JxT, Henrik Dalgaard, David Remahl, kf_lists, Chris Evans, Rob Griffiths, iDEFENSE et Pieter de Boer
Historique
2005-05-03 : Version Initiale
2005-05-03 : MAJ Références
Recevez les bulletins VUPEN
Le service VUPEN Security VNS permet aux professionnels de la sécurité (RSSI, DSI, administrateurs et consultants) de recevoir en temps-réel, par email, SMS et flux RSS/XML, des bulletins de vulnérabilités complets, détaillés et personnalisés.
