Cet article a été archivé et ne sera plus mis à jour par Apple.

À propos des correctifs de sécurité de QuickTime 7.1.5

Ce document décrit les correctifs de sécurité de QuickTime 7.1.5.

Ce document décrit les correctifs de sécurité de QuickTime 7.1.5, qui peuvent être téléchargés et installés via les préférences Mise à jour logicielle ou ici.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple. »

Mise à jour QuickTime 7.1.5

QuickTime

Référence CVE : CVE-2007-0711

Disponible pour : Windows Vista/XP/2000

Conséquence : l’affichage d’un fichier 3GP malveillant peut entraîner le blocage de l’application ou l’exécution arbitraire de code.

Description : il existe un problème de dépassement d’entier au niveau de la gestion, par QuickTime, des fichiers vidéo 3GP. En incitant un utilisateur à ouvrir une vidéo malveillante, un attaquant peut provoquer un dépassement de capacité, ce qui peut entraîner un blocage de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en procédant à une validation supplémentaire des fichiers vidéo 3GP. Ce problème ne concerne pas Mac OS X. Nous remercions JJ Reyes de l’avoir signalé.

QuickTime

Référence CVE : CVE-2007-0712

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : l’affichage d’un fichier MIDI malveillant peut entraîner le blocage d’une application ou l’exécution arbitraire de code.

Description : il existe un problème de dépassement de la mémoire tampon au niveau de la gestion, par QuickTime, des fichiers MIDI. En incitant un utilisateur à ouvrir un fichier MIDI malveillant, un attaquant peut provoquer un dépassement de capacité, ce qui peut entraîner un blocage de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en effectuant une validation supplémentaire des fichiers MIDI. Nous remercions Mike Price de McAfee AVERT Labs d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2007-0713

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : la lecture d’un fichier vidéo QuickTime malveillant peut entraîner le blocage de l’application ou l’exécution arbitraire de code.

Description : il existe un problème de dépassement de la mémoire tampon au niveau de la gestion, par QuickTime, des fichiers vidéo QuickTime. En incitant un utilisateur à accéder à une vidéo malveillante, un attaquant peut provoquer un dépassement de capacité, ce qui peut entraîner un blocage de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en effectuant une validation supplémentaire des vidéos QuickTime. Nous remercions Mike Price de McAfee AVERT Labs, Piotr Bania et Artur Ogloza d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2007-0714

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : la lecture d’un fichier vidéo QuickTime malveillant peut entraîner le blocage de l’application ou l’exécution arbitraire de code.

Description : il existe un problème de dépassement d’entier au niveau de la gestion, par QuickTime, des atomes UDTA dans les fichiers vidéo. En incitant un utilisateur à accéder à une vidéo malveillante, un attaquant peut provoquer un dépassement de capacité, ce qui peut entraîner un blocage de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en effectuant une validation supplémentaire des vidéos QuickTime. Nous remercions Sowhat de Nevis Labs, ainsi qu’un chercheur anonyme travaillant avec TippingPoint et la Zero Day Initiative, d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2007-0715

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : l’affichage d’un fichier PICT malveillant peut entraîner le blocage d’une application ou l’exécution arbitraire de code.

Description : il existe un problème de dépassement de la mémoire tampon au niveau de la gestion, par QuickTime, des fichiers PICT. En incitant un utilisateur à ouvrir un fichier image PICT malveillant, un attaquant peut provoquer un dépassement de capacité, ce qui peut entraîner l’exécution arbitraire de code. Cette mise à jour résout le problème en effectuant une validation supplémentaire des fichiers PICT. Nous remercions Mike Price de McAfee AVERT Labs d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2007-0716

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : l’ouverture d’un fichier QTIF malveillant peut entraîner le blocage d’une application ou l’exécution arbitraire de code.

Description : il existe un problème de dépassement de la mémoire tampon au niveau de la gestion, par QuickTime, des fichiers QTIF. En incitant un utilisateur à accéder à un fichier QTIF malveillant, un attaquant peut provoquer un dépassement de capacité, ce qui peut entraîner un blocage de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en effectuant une validation supplémentaire des fichiers QTIF. Nous remercions Mike Price de McAfee AVERT Labs d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2007-0717

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : l’ouverture d’un fichier QTIF malveillant peut entraîner le blocage d’une application ou l’exécution arbitraire de code.

Description : il existe un problème de dépassement d’entier au niveau de la gestion, par QuickTime, des fichiers QTIF. En incitant un utilisateur à accéder à un fichier QTIF malveillant, un attaquant peut provoquer un dépassement de capacité, ce qui peut entraîner un blocage de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en effectuant une validation supplémentaire des fichiers QTIF. Nous remercions Mike Price de McAfee AVERT Labs d’avoir signalé ce problème.

QuickTime

Référence CVE : CVE-2007-0718

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : l’ouverture d’un fichier QTIF malveillant peut entraîner le blocage d’une application ou l’exécution arbitraire de code.

Description : il existe un problème de dépassement de la mémoire tampon au niveau de la gestion, par QuickTime, des fichiers QTIF. En incitant un utilisateur à accéder à un fichier QTIF malveillant, un attaquant peut provoquer un dépassement de capacité, ce qui peut entraîner un blocage de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en effectuant une validation supplémentaire des fichiers QTIF. Nous remercions Ruben Santamarta en collaboration avec le programme iDefense Vulnerability Contributor Program, et JJ Reyes d’avoir signalé ce problème.

QuickTime

Références CVE : CVE-2006-4965, CVE-2007-0059

Disponible pour : Mac OS X 10.3.9 et versions ultérieures, Windows Vista/XP/2000

Conséquence : la lecture d’un fichier vidéo QuickTime ou QTL malveillant peut entraîner l’exécution arbitraire de code JavaScript dans le contexte du domaine local.

Description : il existe un problème d’injection de code indirect au niveau du module de navigateur de QuickTime. En incitant un utilisateur à ouvrir un fichier vidéo QuickTime ou QTL malveillant, un attaquant peut provoquer le problème, ce qui peut entraîner l’exécution arbitraire de code JavaScript dans le contexte du domaine local. Ce problème a été décrit sur le site web Month of Apple Bug (MOAB-03-01-2007). Cette mise à jour résout le problème en apportant les modifications suivantes à la gestion des URL dans l’attribut qtnext des fichiers QTL et HREFTracks dans les vidéos QuickTime. Seules les URL « http:» et « https:» sont autorisées si le film est chargé à partir d’un site distant. Seules les URL « file: » sont autorisées si le film est chargé localement.

QuickTime 7.1.5 pour Mac ou Windows est disponible depuis Mise à jour logicielle. Vous pouvez également le télécharger depuis la page : http://www.apple.com/quicktime/download/.

Date de publication: