À propos des correctifs de sécurité de QuickTime 7.5.5

Ce document décrit les correctifs de sécurité de QuickTime 7.5.5, que vous pouvez télécharger et installer à l’aide des préférences de Mise à jour logicielle, ou depuis la page Téléchargements du site d’assistance Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple .

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des renseignements supplémentaires.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez l’article Versions de sécurité d’Apple.

QuickTime 7.5.5

• QuickTime

  Référence CVE : CVE-2008-3615

  Disponible pour : Windows Vista, XP SP2 et SP3

  Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  Description : le codec tiers Indeo v5 pour QuickTime, qui n’est pas livré avec QuickTime, présente un problème d’accès à la mémoire non initialisée. La lecture d’un fichier vidéo malveillant peut entraîner l’arrêt inopiné de l’app ou l’exécution de code arbitraire. Cette mise à jour corrige le problème en ne donnant aucun rendu des contenus encodés avec une quelconque version du codec Indeo. Ce problème ne concerne pas les systèmes exécutant Mac OS X. Nous remercions Paul Byrne, de NGSSoftware, d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3635

  Disponible pour : Windows Vista, XP SP2 et SP3

  Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  Description : le codec tiers Indeo 3.2 pour QuickTime présente un problème de dépassement de la mémoire tampon de la pile. La lecture d’un fichier vidéo malveillant peut entraîner l’arrêt inopiné de l’app ou l’exécution de code arbitraire. Cette mise à jour corrige le problème en ne donnant aucun rendu des contenus encodés avec une quelconque version du codec Indeo. Ce problème ne concerne pas les systèmes exécutant Mac OS X. Nous remercions un chercheur anonyme de l’équipe du programme Zero Day Initiative de TippingPoint d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3624

  Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3

  Conséquence : le visionnement d’un fichier vidéo QTVR malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  Description : il existe un problème de dépassement de la mémoire tampon du tas dans la gestion par QuickTime des atomes de panoramas dans les fichiers vidéo QTVR (QuickTime Virtual Reality). L’affichage d’un fichier QTVR malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème grâce à une vérification améliorée des limites des atomes de panoramas. Nous remercions Roee Hay, de l’IBM Rational Application Security Research Group, d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3625

  Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3

  Conséquence : le visionnement d’un fichier vidéo QTVR malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  Description : il existe un problème de dépassement de la mémoire tampon de la pile dans la gestion par QuickTime des atomes de panoramas dans les fichiers vidéo QTVR (QuickTime Virtual Reality). L’affichage d’un fichier QTVR malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème grâce à une vérification améliorée des limites des atomes de panoramas. Nous remercions un chercheur anonyme, en collaboration avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3614

  Disponible pour : Windows Vista, XP SP2 et SP3

  Conséquence : l’ouverture d’une image PICT malveillante peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  Description : il existe un problème de dépassement d’entier au niveau du traitement des images PICT par QuickTime. L’ouverture d’une image PICT malveillante peut entraîner la fermeture inopinée de l’app ou l’exécution de code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des images PICT. Nous remercions un chercheur anonyme travaillant avec iDefense VCP d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3626

  Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3

  Conséquence : le visionnement d’un fichier vidéo malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  Description : il existe un problème de corruption de la mémoire dans le traitement par QuickTime des atomes STSZ des fichiers vidéo. La lecture d’un fichier vidéo malveillant peut entraîner l’arrêt inopiné de l’app ou l’exécution de code arbitraire. Cette mise à jour résout le problème grâce à une vérification améliorée des limites des atomes STSZ. Nous remercions un chercheur anonyme, en collaboration avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3627

  Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3

  Conséquence : le visionnement d’un fichier vidéo malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  Description : il existe plusieurs corruptions de la mémoire dans le traitement par QuickTime des fichiers vidéo encodés au format H.264. La lecture d’un fichier vidéo malveillant peut entraîner l’arrêt inopiné de l’app ou l’exécution de code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des fichiers vidéo encodés au format H.264. Nous remercions un chercheur anonyme et Subreption LLC, de l’équipe du programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3628

  Disponible pour : Windows Vista, XP SP2 et SP3

  Conséquence : l’ouverture d’une image PICT malveillante peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  Description : il existe un problème de pointeur non valide au niveau du traitement des images PICT par QuickTime. L’ouverture d’une image PICT malveillante peut entraîner la fermeture inopinée de l’app ou l’exécution de code arbitraire. Cette mise à jour résout le problème en enregistrant et en restaurant correctement une variable globale. Ce problème n’affecte pas les systèmes exécutant Mac OS X. Nous remercions David Wharton d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3629

  Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3

  Conséquence : l’ouverture d’une image PICT malveillante peut entraîner la fermeture inopinée de l’application.

  Description : il existe un problème de lecture hors limites au niveau du traitement des images PICT par QuickTime. L’ouverture d’une image PICT malveillante peut entraîner la fermeture inopinée de l’application. Cette mise à jour résout le problème en effectuant une validation supplémentaire des images PICT. Nous remercions Sergio « shadown » Alvarez de n.runs AG d’avoir signalé ce problème.