À propos des correctifs de sécurité de QuickTime 7.3.1

Ce document décrit les correctifs de sécurité de QuickTime 7.3.1, qui peuvent être téléchargés et installés via les préférences Mise à jour de logiciels ou depuis la page Téléchargements d’Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

QuickTime 7.3.1

QuickTime

Référence CVE : CVE-2007-6166

Disponible pour : Mac OS X 10.3.9, Mac OS X 10.4.9 ou version ultérieure, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2

Conséquence : l’ouverture d’une vidéo RTSP malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : il existe un problème de dépassement de mémoire tampon au niveau de la gestion des en-têtes RTSP (Real Time Streaming Protocol) par QuickTime. En incitant un utilisateur à regarder une vidéo RTSP malveillante, un attaquant peut provoquer la fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en s’assurant que le tampon de destination est suffisamment volumineux pour contenir les données.

QuickTime

Référence CVE : CVE-2007-4706

Disponible pour : Mac OS X 10.3.9, Mac OS X 10.4.9 ou version ultérieure, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2

Conséquence : l’affichage d’un fichier QTL malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

Description : il existe un problème de dépassement de la mémoire tampon au niveau de la gestion des fichiers QTL par QuickTime. En incitant un utilisateur à regarder un fichier QTL malveillant, un attaquant peut provoquer la fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème par une meilleure vérification des limites.

QuickTime

Référence CVE : CVE-2007-4707

Disponible pour : Mac OS X 10.3.9, Mac OS X 10.4.9 ou version ultérieure, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2

Conséquence : plusieurs vulnérabilités dans le gestionnaire de contenu Flash de QuickTime

Description : plusieurs vulnérabilités affectent le gestionnaire de contenu Flash de QuickTime, la plus grave pouvant entraîner l’exécution arbitraire de code. Avec cette mise à jour, le gestionnaire de contenu Flash est désactivé dans QuickTime, sauf pour un nombre limité de vidéos QuickTime existantes fiables. Nous remercions Tom Ferris d’Adobe Secure Software Engineering Team (ASSET), Mike Price de McAfee Avert Labs, Lionel d’Hauenens et Brian Marianin, chercheurs en sécurité chez Syseclabs, ainsi qu’un chercheur anonyme du programme Zero Day Initiative de TippPoint d’avoir signalé ce problème.