À propos des correctifs de sécurité de QuickTime 7.6
Ce document décrit les correctifs de sécurité de QuickTime 7.6, qui peut être téléchargé et installé à partir des préférences Mise à jour de logiciels ou de la page Téléchargements Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
QuickTime 7.6
QuickTime
Référence CVE : CVE-2009-0001
Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3
Conséquence : l’accès à une URL RTSP malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de dépassement de tampon de tas existe dans la gestion par QuickTime des URL RTSP. L’accès à une URL RTSP malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en procédant à une validation supplémentaire des URL RTSP. Merci à Attila Sustzer d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0002
Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3
Conséquence : la lecture d’un fichier vidéo QTVR malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de dépassement de tampon de tas existe dans la gestion par QuickTime des atomes THKD des fichiers vidéo QTVR (QuickTime Virtual Reality). La lecture d’un fichier QTVR malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Merci à un chercheur anonyme, en collaboration avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0003
Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2
Conséquence : la lecture d’un fichier vidéo AVI malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un dépassement de tampon de tas peut survenir lors du traitement d’un fichier vidéo AVI. L’ouverture d’un fichier vidéo AVI malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Merci à un chercheur anonyme, en collaboration avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0004
Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3
Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de dépassement de tampon existe dans la gestion par QuickTime des fichiers vidéo MPEG-2 avec du contenu audio MP3. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Merci à Chad Dougherty du CERT Coordination Center d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0005
Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3
Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existe dans la gestion par QuickTime des fichiers vidéo encodés au format H.263. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en procédant à une validation supplémentaire des fichiers vidéo encodés au format H.263. Merci à Dave Soldera de NGS Software d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0006
Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3
Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de signature existe dans la gestion par QuickTime des fichiers vidéo encodés au format Cinepak, pouvant entraîner un dépassement de tampon de tas. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en procédant à une validation supplémentaire des fichiers vidéo. Merci à un chercheur anonyme, en collaboration avec le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.
QuickTime
Référence CVE : CVE-2009-0007
Disponible pour : Mac OS X 10.4.9 à 10.4.11, Mac OS X 10.5 ou version ultérieure, Windows Vista, XP SP2 et SP3
Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de dépassement de tampon de tas existe dans la gestion par QuickTime des atomes jpeg des fichiers vidéo QuickTime. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Merci à un chercheur anonyme travaillant en collaboration avec le programme Zero Day Initiative de TippingPoint d’avoir signalé ce problème.
Important : les renseignements concernant des produits non fabriqués par Apple ne sont fournis qu’à titre indicatif et ne constituent ni une recommandation ni une approbation de la part d’Apple. Veuillez contacter le fournisseur pour obtenir plus d’informations.