À propos du contenu sécuritaire de la mise à jour QuickTime 7.1

This article has been archived and is no longer updated by Apple.

Ce document décrit le contenu sécuritaire inclus dans la mise à jour QuickTime 7.1 Update, qui peut être téléchargée et installée grâce à l’option Mise à jour de logiciels ou depuis la page des Téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, consultez la page Sécurité Produit du site web d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Mise à jour QuickTime 7.1

  • QuickTime

    Références CVE : CVE-2006-1458

    Disponible pour : Mac OS X v10.3.9 ou ultérieur, Microsoft Windows XP, Microsoft Windows 2000

    Conséquences : l’affichage d’une image JPEG construite de manière malveillante peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : en construisant soigneusement une image corrompue au format JPEG, un attaquant peut déclencher un dépassement d’entier qui peut conduire à un blocage d’application ou à l’exécution de code quelconque avec les privilèges de l’utilisateur. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images JPEG.

  • QuickTime

    Références CVE : CVE-2006-1459, CVE-2006-1460

    Disponible pour : Mac OS X v10.3.9 ou ultérieur, Microsoft Windows XP, Microsoft Windows 2000

    Conséquences : l’affichage d’une séquence QuickTime construite de manière malveillante peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : en construisant soigneusement une séquence QuickTime corrompue, un attaquant peut déclencher un dépassement d’entier ou de mémoire tampon qui peut conduire à un blocage d’application ou à l’exécution de code quelconque avec les privilèges de l’utilisateur. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les séquences QuickTime. Nous remercions Mike Price de McAfee AVERT Labs pour avoir signalé ces problèmes.

  • QuickTime

    Références CVE : CVE-2006-1461

    Disponible pour : Mac OS X v10.3.9 ou ultérieur, Microsoft Windows XP, Microsoft Windows 2000

    Conséquences : l’affichage d’une séquence Flash construite de manière malveillante peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : en construisant soigneusement une séquence Flash, un attaquant peut déclencher un dépassement de mémoire tampon qui peut conduire à un blocage d’application ou à l’exécution de code quelconque avec les privilèges de l’utilisateur. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les séquences QuickTime. Nous remercions Mike Price de McAfee AVERT Labs pour avoir signalé ce problème.

  • QuickTime

    Références CVE : CVE-2006-1462, CVE-2006-1463

    Disponible pour : Mac OS X v10.3.9 ou ultérieur, Microsoft Windows XP, Microsoft Windows 2000

    Conséquences : l’affichage d’une séquence H.264 construite de manière malveillante peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : en construisant soigneusement une séquence H.264 corrompue, un attaquant peut déclencher un dépassement d’entier ou de mémoire tampon qui peut conduire à un blocage d’application ou à l’exécution de code quelconque avec les privilèges de l’utilisateur. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les séquences H.264. Nous remercions Mike Price de McAfee AVERT Labs et ATmaCA qui travaille par le biais de TippingPoint et de Zero Day Initiative pour avoir signalé ce problème.

  • QuickTime

    Références CVE : CVE-2006-1464

    Disponible pour : Mac OS X v10.3.9 ou ultérieur, Microsoft Windows XP, Microsoft Windows 2000

    Conséquences : l’affichage d’une séquence MPEG4 construite de manière malveillante peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : en construisant soigneusement une séquence MPEG4, un attaquant peut déclencher un dépassement de mémoire tampon qui peut conduire à un blocage d’application ou à l’exécution de code quelconque avec les privilèges de l’utilisateur. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les séquences MPEG4. Nous remercions Mike Price de McAfee AVERT Labs pour avoir signalé ce problème.

  • QuickTime

    Références CVE : CVE-2006-1249

    Disponible pour : Mac OS X v10.3.9 ou ultérieur, Microsoft Windows XP, Microsoft Windows 2000

    Conséquences : l’affichage d’une image FlashPix construite de manière malveillante peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : en construisant soigneusement une image corrompue au format FlashPix, un attaquant peut déclencher un dépassement d’entier qui peut conduire à un blocage d’application ou à l’exécution de code quelconque avec les privilèges de l’utilisateur. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images FlashPix. Nous remercions eEye Digital Security et Mike Price de McAfee AVERT Labs pour avoir signalé ce problème.

  • QuickTime

    Références CVE : CVE-2006-1465

    Disponible pour : Mac OS X v10.3.9 ou ultérieur, Microsoft Windows XP, Microsoft Windows 2000

    Conséquences : l’affichage d’une séquence AVI construite de manière malveillante peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : en construisant soigneusement une séquence AVI, un attaquant peut déclencher un dépassement de mémoire tampon qui peut conduire à un blocage d’application ou à l’exécution de code quelconque avec les privilèges de l’utilisateur. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les séquences AVI. Nous remercions Mike Price de McAfee AVERT Labs pour avoir signalé ce problème.

  • QuickTime

    Références CVE : CVE-2006-1453, CVE-2006-1454

    Disponible pour : Mac OS X v10.3.9 ou ultérieur, Microsoft Windows XP, Microsoft Windows 2000

    Conséquences : l’affichage d’une image PICT construite de manière malveillante peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : deux problèmes gênent QuickDraw lors du traitement d’images PICT. Des informations sur les polices défectueuses peuvent provoquer un dépassement de mémoire tampon dans la pile et des données d’image défectueuses peuvent provoquer un dépassement de mémoire tampon. En construisant soigneusement une image PICT malveillante, un attaquant peut conduire à l’exécution de code quelconque lors de la visualisation de l’image. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images PICT. Nous remercions Mike Price de McAfee AVERT Labs pour avoir signalé ce problème.

  • QuickTime

    Références CVE : CVE-2006-2238

    Disponible pour : Mac OS X v10.3.9 ou ultérieur, Microsoft Windows XP, Microsoft Windows 2000

    Conséquences : l’affichage d’une image BMP construite de manière malveillante peut conduire à un blocage d’application ou à l’exécution de code quelconque

    Description : en construisant soigneusement une image BMP corrompue, un attaquant peut déclencher un dépassement de mémoire tampon qui peut conduire à un blocage d’application ou à l’exécution de code quelconque avec les privilèges de l’utilisateur. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les images BMP.

    Ce problème était initialement identifié sous le nom CVE-2006-1983 mais un nouveau nom lui a été attribué.

Published Date: 7 oct. 2016