À propos des correctifs de sécurité de QuickTime 7.6.2
Ce document décrit les correctifs de sécurité de QuickTime 7.6.2.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple .
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des renseignements supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Versions de sécurité d’Apple.
QuickTime 7.6.2
QuickTime
Référence CVE : CVE-2009-0188
Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista et XP SP3
Conséquence : l’ouverture d’un fichier vidéo malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : il existe un problème de corruption de la mémoire dans le traitement par QuickTime des fichiers vidéo Sorenson 3. Cela peut entraîner une fermeture inopinée d’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des fichiers vidéo Sorenson 3. Nous remercions Carsten Eiram, de Secunia Research, d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0951
Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista et XP SP3
Conséquence : l’ouverture d’un fichier de compression FLC malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : il existe un problème de dépassement de la mémoire tampon du tas dans le traitement des fichiers de compression FLC. L’ouverture d’un fichier de compression FLC malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Nous remercions un chercheur anonyme, en collaboration avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0952
Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista et XP SP3
Conséquence : l’affichage d’une image PSD malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : un dépassement de la mémoire tampon peut se produire lors du traitement d’une image PSD compressée. L’ouverture d’un fichier PSD compressé malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Nous remercions Damian Put, de l’équipe du programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0010
Disponible pour : Windows Vista et XP SP3
Conséquence : l’ouverture d’une image PICT malveillante peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : un problème de sous-dépassement d’entier au niveau du traitement des images PICT par QuickTime peut conduire à un dépassement de la mémoire tampon du tas. L’ouverture d’un fichier PICT malveillant peut entraîner l’arrêt inopiné de l’app ou l’exécution de code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des images PICT. Nous remercions Sebastian Apelt, de l’équipe du programme Zero Day Initiative de TippingPoint, et Chris Ries, de Carnegie Mellon University Computing Services, d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0953
Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista et XP SP3
Conséquence : l’ouverture d’une image PICT malveillante peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : il existe un problème de dépassement de la mémoire tampon du tas dans le traitement par QuickTime des images PICT. L’ouverture d’un fichier PICT malveillant peut entraîner l’arrêt inopiné de l’app ou l’exécution de code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des images PICT. Nous remercions Sebastian Apelt, de l’équipe du programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0954
Disponible pour : Windows Vista et XP SP3
Conséquence : l’ouverture d’un fichier vidéo malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : il existe un problème de dépassement de la mémoire tampon du tas au niveau du traitement par QuickTime des types d’atomes de la région de découpage (CRGN) des fichiers vidéo. L’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Ce problème n’affecte pas les systèmes Mac OS X. Nous remercions un chercheur anonyme, en collaboration avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0185
Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista et XP SP3
Conséquence : le visionnement d’un fichier vidéo malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : il existe un problème de dépassement de la mémoire tampon du tas au niveau du traitement par QuickTime des données audio encodées au format MS ADPCM. La lecture d’un fichier vidéo malveillant peut entraîner l’arrêt inopiné de l’app ou l’exécution de code arbitraire. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Merci à Alin Rad Pop de Secunia Research d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0955
Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista et XP SP3
Conséquence : l’ouverture d’un fichier vidéo malveillant peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : il existe un problème d’extension de signe au niveau du traitement par QuickTime des atomes de description d’image. L’ouverture d’un fichier vidéo Apple malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème en améliorant la validation des atomes de description. Nous remercions Roee Hay, de l’IBM Rational Application Security Research Group, d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0956
Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista et XP SP3
Conséquence : la visualisation d’un fichier vidéo avec un atome de données utilisateur malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : il existe un problème d’accès à la mémoire non initialisée dans le traitement des fichiers vidéo par QuickTime. La lecture d’un fichier vidéo avec une taille d’atome de données utilisateur nulle peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des fichiers vidéo et en affichant une boîte de dialogue d’avertissement pour l’utilisateur. Nous remercions Lurene Grenier, de Sourcefire, Inc. (VRT), d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0957
Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista et XP SP3
Conséquence : l’affichage d’une image JP2 malveillante peut provoquer la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : il existe un problème de dépassement de la mémoire tampon du tas dans le traitement par QuickTime des images JP2. L’affichage d’une image JP2 malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Nous remercions Charlie Miller, d’Independent Security Evaluators, et Damian Put, de l’équipe du programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.
Important : les renseignements concernant des produits non fabriqués par Apple ne sont fournis qu’à titre indicatif et ne constituent ni une recommandation, ni une approbation, de la part d’Apple. Communiquez avec le fournisseur pour obtenir des informations supplémentaires.