À propos des correctifs de sécurité de QuickTime 7.1.5

Ce document décrit les correctifs de sécurité de QuickTime 7.1.5.

Ce document décrit les correctifs de sécurité de QuickTime 7.1.5, qui peut être téléchargée et installée via les préférences de Mise à jour logicielle, ou à partir d’ici.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité des produits Apple, consultez la page consacrée à la sécurité des produits Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Versions de sécurité d’Apple.

Mise à jour QuickTime 7.1.5

QuickTime

Référence CVE : CVE-2007-0711

Disponible pour : Windows Vista/XP/2000

Conséquence : la lecture d’un fichier 3GP malveillant peut entraîner le plantage de l’app ou l’exécution de code arbitraire.

Description : il existe un dépassement d’entier dans la gestion des fichiers vidéo 3GP par QuickTime. En poussant un utilisateur à ouvrir fichier vidéo malveillant, un attaquant peut déclencher le dépassement, ce qui peut entraîner le plantage de l’app ou l’exécution de code arbitraire. Cette mise à jour corrige le problème en effectuant une validation supplémentaire des fichiers vidéo 3GP. Ce problème ne concerne pas Mac OS X. Nous remercions JJ Reyes d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2007-0712

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : l’affichage d’un fichier MIDI malveillant peut entraîner le plantage de l’app ou l’exécution de code arbitraire.

Description : il existe un dépassement de la mémoire tampon basée sur le tas au niveau de la gestion des fichiers MIDI par QuickTime. En poussant un utilisateur à ouvrir un fichier MIDI malveillant, un attaquant peut provoquer le dépassement, ce qui peut entraîner le plantage de l’app ou l’exécution de code arbitraire. Cette mise à jour corrige le problème en effectuant une validation supplémentaire des fichiers MIDI. Nous remercions Mike Price de McAfee AVERT Labs d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2007-0713

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : la lecture d’un fichier vidéo Quicktime malveillant peut entraîner le plantage de l’app ou l’exécution de code arbitraire.

Description : il existe un dépassement de la mémoire tampon basée sur le tas au niveau de la gestion par QuickTime des fichiers vidéo QuickTime. En poussant un utilisateur à accéder à un fichier vidéo malveillant, un attaquant peut déclencher le dépassement, ce qui peut entraîner le plantage de l’app ou l’exécution de code arbitraire. Cette mise à jour corrige le problème en effectuant une validation supplémentaire des vidéos QuickTime. Nous remercions Mike Price de McAfee AVERT Labs, Piotr Bania et Artur Ogloza d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2007-0714

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : la lecture d’un fichier vidéo Quicktime malveillant peut entraîner le plantage de l’app ou l’exécution de code arbitraire.

Description : il existe un dépassement d’entier dans la gestion par QuickTime des atomes UDTA dans les fichiers vidéo. En poussant un utilisateur à accéder à un fichier vidéo malveillant, un attaquant peut déclencher le dépassement, ce qui peut entraîner le plantage de l’app ou l’exécution de code arbitraire. Cette mise à jour corrige le problème en effectuant une validation supplémentaire des vidéos QuickTime. Nous tenons à remercier Sowhat de Nevis Labs et un chercheur anonyme travaillant pour TippingPoint et la Zero Day Initiative d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2007-0715

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : l’affichage d’un fichier PICT malveillant peut entraîner le plantage de l’app ou l’exécution de code arbitraire.

Description : il existe un dépassement de la mémoire tampon basée sur le tas au niveau de la gestion des fichiers PICT par QuickTime. En poussant un utilisateur à ouvrir un fichier image PICT malveillant, un attaquant peut provoquer le dépassement, ce qui peut conduire à l’exécution de code arbitraire. Cette mise à jour corrige le problème en effectuant une validation supplémentaire des fichiers PICT. Nous remercions Mike Price de McAfee AVERT Labs d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2007-0716

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : l’ouverture d’un fichier QTIF malveillant peut entraîner le plantage de l’app ou l’exécution de code arbitraire.

Description : il existe un dépassement de la mémoire tampon basée sur la pile au niveau de la gestion des fichiers QTIF par QuickTime. En poussant un utilisateur à accéder à un fichier QTIF malveillant, un attaquant peut déclencher le dépassement, ce qui peut entraîner le plantage de l’app ou l’exécution de code arbitraire. Cette mise à jour corrige le problème en effectuant une validation supplémentaire des fichiers QTIF. Nous remercions Mike Price de McAfee AVERT Labs d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2007-0717

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : l’ouverture d’un fichier QTIF malveillant peut entraîner le plantage de l’app ou l’exécution de code arbitraire.

Description : il existe un dépassement d’entier dans la gestion des fichiers QTIF par QuickTime. En poussant un utilisateur à accéder à un fichier QTIF malveillant, un attaquant peut déclencher le dépassement, ce qui peut entraîner le plantage de l’app ou l’exécution de code arbitraire. Cette mise à jour corrige le problème en effectuant une validation supplémentaire des fichiers QTIF. Nous remercions Mike Price de McAfee AVERT Labs d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2007-0718

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : l’ouverture d’un fichier QTIF malveillant peut entraîner le plantage de l’app ou l’exécution de code arbitraire.

Description : il existe un dépassement de mémoire tampon basée sur le tas au niveau de la gestion des fichiers QTIF par QuickTime. En poussant un utilisateur à accéder à un fichier QTIF malveillant, un attaquant peut déclencher le dépassement, ce qui peut entraîner le plantage de l’app ou l’exécution de code arbitraire. Cette mise à jour corrige le problème en effectuant une validation supplémentaire des fichiers QTIF. Nous remercions Ruben Santamarta du programme iDefense Vulnerability Contributor et JJ Reyes d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2006-4965, CVE-2007-0059

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : l’affichage d’un fichier vidéo QuickTime ou d’un fichier QTL malveillants peut entraîner l’exécution de code arbitraire JavaScript dans le contexte du domaine local.

Description : il existe un problème d’exécution de scripts interzones dans le module d’extension du navigateur de QuickTime. En poussant un utilisateur à ouvrir un fichier vidéo QuickTime ou un fichier QTL malveillants, un attaquant peut déclencher le problème, ce qui peut conduire à l’exécution de code arbitraire JavaScript dans le contexte du domaine local. Ce problème a été décrit sur le site web Month of Apple Bugs (MOAB-03-01-2007). Cette mise à jour corrige le problème en apportant les modifications suivantes à la gestion des URL dans l’attribut qtnext des fichiers QTL et aux pistes HREF des vidéos QuickTime. Seules les URL « http : » et « https : » sont autorisées si le film est chargé à partir d’un site distant. Seules les URL « file : » sont autorisées si le film est chargé localement.

QuickTime 7.1.5 pour Mac ou Windows peut être obtenu à partir de Mise à jour logicielle ou en téléchargement manuel à partir de : https://support.apple.com/kb/DL837?locale=fr_CA.