À propos du contenu de sécurité de QuickTime 7.3

Ce document décrit le contenu de sécurité de QuickTime 7.3, qui peut être téléchargé et installé à partir des préférences de mise à jour logicielle ou des téléchargements Apple .

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’articleComment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

QuickTime 7.3

QuickTime

ID CVE : CVE-2007-2395

Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou toute version ultérieure, Mac OS X v10.5, Windows Vista, XP SP2

Conséquence : l’affichage d’un fichier Excel malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution d’un code arbitraire.

Description : il existe un problème de corruption de mémoire dans la gestion par QuickTime des atomes de description d’image. En incitant un utilisateur à ouvrir un fichier vidéo conçu de manière malveillante, un attaquant peut provoquer l’arrêt inattendu d’une application ou l’exécution d’un code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des descriptions d’images de QuickTime. Merci à Dylan Ashe d’Adobe Systems Incorporated d’avoir signalé ce problème.

QuickTime

ID CVE : CVE-2007-3750

Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou toute version ultérieure, Mac OS X v10.5, Windows Vista, XP SP2

Conséquence : l’affichage d’un fichier Excel malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution d’un code arbitraire.

Description : il existe un débordement de tampon du tas dans la gestion par QuickTime Player des atomes STSD (Sample Table Sample Descriptor). En incitant un utilisateur à ouvrir un fichier vidéo conçu de manière malveillante, un attaquant peut provoquer l’arrêt inattendu d’une application ou l’exécution d’un code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des atomes STSD. Merci à Tobias Klein de www.trapkit.de d’avoir signalé ce problème.

QuickTime

ID CVE : CVE-2007-3751

Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou toute version ultérieure, Mac OS X v10.5, Windows Vista, XP SP2

Conséquence : les applets Java non fiables peuvent obtenir des privilèges élevés.

Description : il existe plusieurs vulnérabilités dans QuickTime pour Java, qui peuvent permettre à des applets Java non fiables d’obtenir des privilèges élevés. En incitant un utilisateur à consulter une page Web contenant un applet Java malveillant, un attaquant peut provoquer la divulgation d’informations sensibles et l’exécution d’un code arbitraire avec des privilèges élevés. Cette mise à jour résout les problèmes en interdisant aux applets Java non fiables l’accès à QuickTime pour Java. Merci à Adam Gowdiak d’avoir signalé ce problème.

QuickTime

ID CVE : CVE-2007-4672

Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou toute version ultérieure, Mac OS X v10.5, Windows Vista, XP SP2

Conséquence : l’ouverture d’un fichier PICT malveillant peut entraîner l’arrêt inopiné d’une application ou l’exécution d’un code arbitraire.

Description : il existe un dépassement de tampon du tas dans le traitement des images PICT. En incitant un utilisateur à ouvrir une image conçue de manière malveillante, un attaquant peut provoquer l’arrêt inattendu d’une application ou l’exécution d’un code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des fichiers PICT. Merci à Ruben Santamarta de reversemode.com qui a travaillé avec TippingPoint et Zero Day Initiative d’avoir signalé ce problème.

QuickTime

ID CVE : CVE-2007-4676

Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou toute version ultérieure, Mac OS X v10.5, Windows Vista, XP SP2

Conséquence : l’ouverture d’un fichier PICT malveillant peut entraîner l’arrêt inopiné d’une application ou l’exécution d’un code arbitraire.

Description : un dépassement de tampon du tas existe dans le traitement d’image PICT. En incitant un utilisateur à ouvrir une image conçue de manière malveillante, un attaquant peut provoquer l’arrêt inattendu d’une application ou l’exécution d’un code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des fichiers PICT. Merci à Ruben Santamarta de reversemode.com qui a travaillé avec TippingPoint et Zero Day Initiative d’avoir signalé ce problème.

QuickTime

ID CVE : CVE-2007-4675

Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou toute version ultérieure, Mac OS X v10.5, Windows Vista, XP SP2

Conséquence : l’affichage d’un fichier Excel malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution d’un code arbitraire.

Description : il existe un dépassement de tampon du tas dans la gestion par QuickTime des atomes d’échantillons de panorama dans les fichiers vidéo QTVR (QuickTime Virtual Reality). En incitant un utilisateur à consulter un fichier QTVR conçu de manière malveillante, un attaquant peut provoquer l’arrêt inattendu d’une application ou l’exécution d’un code arbitraire. Cette mise à jour résout le problème en effectuant une vérification des limites sur les atomes des échantillons panoramiques. Merci à Mario Ballano de 48bits.com qui collabore avec VeriSign iDefense VCP d’avoir signalé ce problème.

QuickTime

ID CVE : CVE-2007-4677

Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou toute version ultérieure, Mac OS X v10.5, Windows Vista, XP SP2

Conséquence : l’affichage d’un fichier Excel malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution d’un code arbitraire.

Description : un dépassement de tampon du tas existe lors de l’analyse de l’atome de la table des couleurs pendant l’ouverture d’un fichier vidéo. En incitant un utilisateur à ouvrir un fichier vidéo conçu de manière malveillante, un attaquant peut provoquer l’arrêt inattendu d’une application ou l’exécution d’un code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des atomes de la table des couleurs. Nous remercions Ruben Santamarta de reversemode.com et Mario Ballano de 48bits.com qui travaillent avec TippingPoint et Zero Day Initiative d’avoir signalé ce problème.

QuickTime

ID CVE : CVE-2007-4674

Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou toute version ultérieure, Mac OS X v10.5, Windows Vista, XP SP2

Conséquence : l’affichage d’un fichier Excel malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution d’un code arbitraire.

Description : un problème d’arithmétique avec entier dans la gestion par QuickTime de certains atomes de fichiers vidéo peut entraîner un débordement de tampon de la pile. En incitant un utilisateur à ouvrir un fichier vidéo conçu de manière malveillante, un attaquant peut provoquer l’arrêt inattendu d’une application ou l’exécution d’un code arbitraire. Cette mise à jour résout le problème grâce à une gestion améliorée des champs de longueur d’atome dans les fichiers vidéo. Merci à Cody Pierce de TippingPoint DVLabs d’avoir signalé ce problème.