À propos des correctifs de sécurité de QuickTime 7.5.5

Ce document décrit les correctifs de sécurité de QuickTime 7.5.5, qui peuvent être téléchargés et installés via les préférences Mise à jour de logiciels ou depuis la page Téléchargements d’Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

QuickTime 7.5.5

• QuickTime

  Référence CVE : CVE-2008-3615

  Disponible pour : Windows Vista, XP SP2 et SP3

  Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

  Description : un problème d’accès à la mémoire non initialisée existe dans le codec Indeo 5 tiers pour QuickTime, qui n’est pas fourni avec ce dernier. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en ne restituant pas le contenu encodé avec les versions du codec Indeo. Ce problème n’affecte pas les systèmes exécutant Mac OS X. Merci à Paul Byrne de NGSSoftware d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3635

  Disponible pour : Windows Vista, XP SP2 et SP3

  Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

  Description : un problème de dépassement de la mémoire tampon de pile existe dans le codec Indeo 3.2 tiers pour QuickTime. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en ne restituant pas le contenu encodé avec les versions du codec Indeo. Ce problème n’affecte pas les systèmes exécutant Mac OS X. Merci à un chercheur anonyme, qui travaille pour le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3624

  Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3

  Conséquence : la lecture d’un fichier vidéo QTVR malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

  Description : un problème de dépassement de la mémoire tampon de tas existe au niveau de la gestion par QuickTime des atomes de panorama des fichiers vidéo QTVR (QuickTime Virtual Reality). La lecture d’un fichier QTVR malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une meilleure vérification des limites des atomes de panorama. Merci à Roee Hay, d’IBM Rational Application Security Research Group, d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3625

  Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3

  Conséquence : la lecture d’un fichier vidéo QTVR malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

  Description : un problème de dépassement de la mémoire tampon de pile existe au niveau de la gestion par QuickTime des atomes de panorama des fichiers vidéo QTVR (QuickTime Virtual Reality). La lecture d’un fichier QTVR malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une meilleure vérification des limites des atomes de panorama. Merci à un chercheur anonyme, en collaboration avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3614

  Disponible pour : Windows Vista, XP SP2 et SP3

  Conséquence : l’ouverture d’un fichier image PICT malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

  Description : un problème de dépassement d’entier existe au niveau de la gestion par QuickTime des fichiers image au format PICT. L’ouverture d’une image PICT malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en procédant à une validation supplémentaire des images PICT. Merci à un chercheur anonyme travaillant avec le iDefense VCP d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3626

  Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3

  Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

  Description : un problème de corruption de la mémoire existe au niveau de la gestion par QuickTime des atomes STSZ des fichiers vidéo. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une meilleure vérification des limites des atomes STSZ. Merci à un chercheur anonyme, en collaboration avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3627

  Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3

  Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

  Description : plusieurs problèmes de corruption de la mémoire existent au niveau de la gestion par QuickTime des fichiers vidéo encodés au format H.264. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en procédant à une validation supplémentaire des fichiers vidéo encodés au format H.264. Merci à un chercheur anonyme et à Subreption LLC, travaillant avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3628

  Disponible pour : Windows Vista, XP SP2 et SP3

  Conséquence : l’ouverture d’un fichier image PICT malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.

  Description : un problème de pointeur non valide existe au niveau de la gestion par QuickTime des fichiers image au format PICT. L’ouverture d’une image PICT malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en enregistrant et en restaurant correctement une variable globale. Ce problème n’affecte pas les systèmes exécutant Mac OS X. Merci à David Wharton d’avoir signalé ce problème.

• QuickTime

  Référence CVE : CVE-2008-3629

  Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3

  Conséquence : l’ouverture d’un fichier image PICT malveillant peut entraîner une fermeture inopinée de l’application.

  Description : un problème de lecture hors limite existe au niveau de la gestion par QuickTime des fichiers image au format PICT. L’ouverture d’un fichier image PICT malveillant peut entraîner une fermeture inopinée de l’application. Cette mise à jour résout le problème en procédant à une validation supplémentaire des images PICT. Merci à Sergio « shadown » Alvarez de n.runs AG d’avoir signalé ce problème.