À propos des correctifs de sécurité de QuickTime 7.6
Ce document décrit les correctifs de sécurité de QuickTime 7.6, qui peuvent être téléchargés et installés à l’aide des préférences de Mise à jour logicielle ou à partir des téléchargements d’Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple .
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’articleComment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des renseignements supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Versions de sécurité d’Apple.
QuickTime 7.6
QuickTime
Référence CVE : CVE-2009-0001
Disponible pour : Mac OS X v10.4.9 à v10.4.11, Mac OS X v10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3
Conséquence : l’accès à une URL RTSP malveillante peut provoquer la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : Il existe un dépassement de la mémoire tampon du tas dans la gestion des URL RTSP par QuickTime. L’accès à une URL RTSP malveillante peut provoquer la fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour corrige le problème en effectuant une validation supplémentaire des URL RTSP. Nous remercions Attila Suszter d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0002
Disponible pour : Mac OS X v10.4.9 à v10.4.11, Mac OS X v10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3
Conséquence : le visionnement d’un fichier vidéo QTVR malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : il existe un dépassement de la mémoire tampon du tas dans la gestion par QuickTime des atomes THKD dans les fichiers vidéo QTVR (QuickTime Virtual Reality). L’affichage d’un fichier QTVR malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Nous remercions un chercheur anonyme, en collaboration avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0003
Disponible pour : Mac OS X v10.4.9 à v10.4.11, Mac OS X v10.5 ou version ultérieure, Windows Vista, XP SP2
Conséquence : le visionnement d’un fichier vidéo AVI malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un dépassement de la mémoire tampon du tas peut se produire pendant le traitement d’un fichier vidéo AVI. L’ouverture d’un fichier vidéo AVI malveillant peut entraîner la fermeture inopinée de l’application ou une exécution arbitraire de code. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Nous remercions un chercheur anonyme, en collaboration avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0004
Disponible pour : Mac OS X v10.4.9 à v10.4.11, Mac OS X v10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3
Conséquence : le visionnement d’un fichier vidéo malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : il existe un dépassement de tampon dans la manipulation des fichiers vidéo MPEG-2 contenant du contenu audio MP3. Le visionnement d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Nous remercions Chad Dougherty du Centre de coordination du CERT d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0005
Disponible pour : Mac OS X v10.4.9 à v10.4.11, Mac OS X v10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3
Conséquence : le visionnement d’un fichier vidéo malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : il existe une corruption de la mémoire dans la manipulation par QuickTime des fichiers vidéo encodés H.263. Le visionnement d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des fichiers vidéo encodés H.263. Nous remercions Dave Soldera de NGS Software d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0006
Disponible pour : Mac OS X v10.4.9 à v10.4.11, Mac OS X v10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3
Conséquence : le visionnement d’un fichier vidéo malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : il existe un problème de signature dans la gestion par QuickTime des fichiers vidéo encodés Cinepak, ce qui peut provoquer un dépassement de la mémoire tampon du tas. Le visionnement d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des fichiers vidéo. Nous remercions un chercheur anonyme, en collaboration avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0007
Disponible pour : Mac OS X v10.4.9 à v10.4.11, Mac OS X v10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3
Conséquence : le visionnement d’un fichier vidéo malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : il existe un dépassement de la mémoire tampon du tas dans la gestion par QuickTime des atomes jpeg dans les fichiers vidéo. Le visionnement d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Nous remercions un chercheur anonyme du programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.
Important : les renseignements concernant des produits non fabriqués par Apple ne sont fournis qu’à titre indicatif et ne constituent ni une recommandation, ni une approbation, de la part d’Apple. Communiquez avec le fournisseur pour obtenir des informations supplémentaires.