À propos du contenu sécuritaire de QuickTime 7.5.5
Résumé
Ce document décrit le contenu sécuritaire inclus dans QuickTime 7.5.5, qui peut être téléchargé et installé grâce à l’option Mise à jour de logiciels ou depuis la page des Téléchargements Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas disponibles. Pour en savoir plus sur la sécurité produit d'Apple, consultez le site WebSécurité produit d'Apple.
Pour plus d'informations concernant la clé PGP de la sécurité produit d'Apple, consultez « Comment utiliser la clé PGP de la sécurité produit d'Apple. »
Les identifiants CVE sont utilisées dans la mesure du possible pour répertorier les vulnérabilités afin de fournir plus d'informations.
Pour en savoir plus sur les autres mises à jour de sécurité, consultez « Mises à jour de la sécurité Apple. »
Produits concernés
QuickTime, Sécurité produit
QuickTime 7.5.5
-
QuickTime
CVE-ID : CVE-2008-3615
Disponible pour : Windows Vista, XP SP2 et SP3
Impact : L'ouverture d'un fichier vidéo malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code.
Description : Un problème d'accès à la mémoire non initialisée existe avec le codec tiers Indeo v5 pour QuickTime qui n'est pas vendu avec celui-ci. L'ouverture d'un fichier vidéo malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code. Cette mise à jour résout le problème en ne donnant aucun rendu du contenu encodé avec n'importe quelle version du codec Indeo. Ce problème n'affecte pas les systèmes exécutant Mac OS X. Nous remercions Paul Byrne de NGSSoftware de nous avoir signalé ce problème.
-
QuickTime
CVE-ID : CVE-2008-3635
Disponible pour : Windows Vista, XP SP2 et SP3
Impact : L'ouverture d'un fichier vidéo malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code.
Description : Une saturation de la mémoire tampon basée sur la pile est possible avec le codec tiers Indeo v3.2 pour QuickTime. L'ouverture d'un fichier vidéo malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code. Cette mise à jour résout le problème en ne donnant aucun rendu du contenu encodé avec n'importe quelle version du codec Indeo. Ce problème n'affecte pas les systèmes exécutant Mac OS X. Nous remercions un chercheur anonyme travaillant avec ZDI de nous avoir signalé ce problème.
-
QuickTime
CVE-ID : CVE-2008-3624
Disponible pour : Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ou ultérieure, Windows Vista, XP SP2 et SP3
Impact : L'ouverture d'une séquence QTVR malveillante peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code.
Description : Il existe un dépassement de mémoire tampon au niveau de la gestion par QuickTime des atomes d’exemples de panoramas dans les séquences QTVR (QuickTime Virtual Reality). L'ouverture d'une séquence malveillante peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code. Cette mise à jour résout le problème en améliorant la vérification des limites des atomes de panoramas. Nous remercions Roee Hay d'IBM Rational Application Security Research Group de nous avoir signalé ce problème.
-
QuickTime
CVE-ID : CVE-2008-3625
Disponible pour : Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ou ultérieure, Windows Vista, XP SP2 et SP3
Impact : L'ouverture d'une séquence QTVR malveillante peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code.
Description : Il existe une saturation de la mémoire tampon basée sur la pile au niveau de la gestion par QuickTime des atomes d’exemples de panoramas dans les séquences QTVR (QuickTime Virtual Reality). L'ouverture d'une séquence malveillante peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code. Cette mise à jour résout le problème en améliorant la vérification des limites des atomes de panoramas. Nous remercions un chercheur anonyme travaillant avec TippingPoint et Zero Day Initiative pour avoir signalé ce problème.
-
QuickTime
CVE-ID : CVE-2008-3614
Disponible pour : Windows Vista, XP SP2 et SP3
Impact : L’ouverture d’une image PICT malveillante peut conduire à la fermeture inopinée d’une application ou l’exécution arbitraire de code
Description : Il existe une saturation des nombres entiers au niveau de la gestion par QuickTime des images PICT. L’ouverture d’une image PICT malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code arbitraire. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images PICT. Nous remercions un chercheur anonyme travaillant avec le programme VPC d'iDefense de nous avoir signalé ce problème.
-
QuickTime
CVE-ID : CVE-2008-3626
Disponible pour : Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ou ultérieure, Windows Vista, XP SP2 et SP3
Impact : L'ouverture d'un fichier vidéo malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code.
Description : Un problème de corruption de mémoire existe au niveau de la gestion par QuickTime des atomes STSZ dans les séquences. L'ouverture d'un fichier vidéo malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code. Cette mise à jour résout le problème en améliorant la vérification des limites des atomes STSZ. Nous remercions un chercheur anonyme travaillant avec TippingPoint et Zero Day Initiative pour avoir signalé ce problème.
-
QuickTime
CVE-ID : CVE-2008-3627
Disponible pour : Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ou ultérieure, Windows Vista, XP SP2 et SP3
Impact : L'ouverture d'un fichier vidéo malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code.
Description : Il existe de nombreuses corruption de mémoire au niveau de la gestion par QuickTime des séquences encodées en H.264. L'ouverture d'un fichier vidéo malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les séquences encodées en H.264. Nous remercions un chercheur anonyme et Subreption LLC travaillant avec TippingPoint et Zero Day Initiative de nous avoir signalé ce problème.
-
QuickTime
CVE-ID : CVE-2008-3628
Disponible pour : Windows Vista, XP SP2 et SP3
Impact : L’ouverture d’une image PICT malveillante peut conduire à la fermeture inopinée d’une application ou l’exécution arbitraire de code
Description : Il existe un problème de pointeur non valable au niveau de la gestion par QuickTime des images PICT. L’ouverture d’une image PICT malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code arbitraire. Cette mise à jour résout le problème en sauvegardant et en restaurant correctement une variable globale. Ce problème n'affecte pas les systèmes exécutant Mac OS X. Nous remercions David Wharton de nous avoir signalé ce problème.
-
QuickTime
CVE-ID : CVE-2008-3629
Disponible pour : Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ou ultérieure, Windows Vista, XP SP2 et SP3
Impact : L’ouverture d’une image PICT malveillante peut conduire à la fermeture inopinée d’une application
Description : Il existe un problème de lecture "out-of-bounds" au niveau de la gestion par QuickTime des images PICT. L’ouverture d’une image PICT malveillante peut conduire à la fermeture inopinée d’une application. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images PICT. Nous remercions Sergio 'shadown' Alvarez de n.runs AG de nous avoir signalé ce problème.
Informations supplémentaires
Important: les informations concernant des produits non fabriqués par Apple ne sont fournies qu'à titre indicatif et ne constituent ni une recommandation ni une approbation de la part d'Apple. Veuillez contacter le revendeur pour tout renseignement supplémentaire.