À propos des correctifs de sécurité de QuickTime 7.3.1

Ce document décrit les correctifs de sécurité de QuickTime 7.3.1, que vous pouvez télécharger et installer via les préférences de Mise à jour logicielle, ou depuis la page Téléchargements du site d’assistance Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité d’Apple.

QuickTime 7.3.1

QuickTime

CVE-ID : CVE-2007-6166

Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou version ultérieure, Mac OS X v10.5 ou version ultérieure, Windows Vista, XP SP2

Conséquence : la visualisation d’un film RTSP malveillant peut entraîner la fermeture inopinée de l’app ou une exécution arbitraire de code.

Description : un dépassement de la mémoire tampon affecte la gestion des en-têtes RTSP (Real Time Streaming Protocol ) par QuickTime. En incitant un utilisateur à visualiser un film RTSP malveillant, un attaquant peut provoquer la fermeture inopinée de l’app ou une exécution arbitraire de code. Cette mise à jour résout le problème en veillant à ce que le tampon de destination soit de taille suffisante pour contenir les données.

QuickTime

CVE-ID : CVE-2007-4706

Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou version ultérieure, Mac OS X v10.5 ou version ultérieure, Windows Vista, XP SP2

Conséquence : l’affichage d’un fichier QTL malveillant peut entraîner la fermeture inopinée de l’app ou une exécution arbitraire de code.

Description : un dépassement de la mémoire tampon affecte la gestion des fichiers QTL par QuickTime. En incitant un utilisateur à consulter un fichier QTL malveillant, un attaquant peut provoquer la fermeture inopinée de l’app ou une exécution arbitraire de code. Cette mise à jour résout le problème grâce à une meilleure vérification des limites.

QuickTime

CVE-ID : CVE-2007-4707

Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou version ultérieure, Mac OS X v10.5 ou version ultérieure, Windows Vista, XP SP2

Conséquence : plusieurs vulnérabilités au niveau gestionnaire de fichiers multimédias Flash de QuickTime

Description : plusieurs vulnérabilités affectent le gestionnaire de fichiers multimédias Flash de QuickTime, dont la plus grave peut entraîner une exécution arbitraire de code. Avec cette mise à jour, le gestionnaire de fichiers multimédias Flash de QuickTime est désactivé, sauf pour un nombre limité de films QuickTime existants dont la sécurité est établie. Nous remercions Tom Ferris d’Adobe Secure Software Engineering Team (ASSET), Mike Price de McAfee Avert Labs, les spécialistes de la sécurité Lionel d’Hauenens et Brian Mariani de Syseclabs, et un chercheur anonyme, en collaboration avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.