À propos des correctifs de sécurité de QuickTime 7.7

Ce document décrit les correctifs de sécurité de QuickTime 7.7.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

QuickTime 7.7

• QuickTime

  • Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 ou versions ultérieures

  • Conséquence : l’affichage d’un fichier .pict malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution de code arbitraire.

  • Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion, par QuickTime, des fichiers .pict. L’affichage d’un fichier .pict malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Pour les systèmes Mac OS X v10.6, ce problème est résolu dans Mac OS X v10.6.8. Ce problème ne concerne pas les systèmes OS X Lion.

  • Référence CVE

  • CVE-2011-0245 : Subreption LLC en collaboration avec le programme Zero Day Initiative de TippingPoint

• QuickTime

  • Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : l’affichage d’une image JPEG2000 malveillante avec QuickTime peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  • Description : de multiples problèmes de corruption de la mémoire existaient au niveau de la gestion, par QuickTime, des images JPEG2000. L’affichage d’une image JPEG2000 malveillante avec QuickTime peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Pour les systèmes Mac OS X v10.6, ce problème est résolu dans Mac OS X v10.6.7. Ce problème ne concerne pas les systèmes OS X Lion.

  • Référence CVE

  • CVE-2011-0186 : Will Dormann du CERT/CC

• QuickTime

  • Disponible pour : Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ou versions ultérieures

  • Conséquence : la consultation d’un site web malveillant peut entraîner la divulgation de données vidéo issues d’un autre site.

  • Description : un problème d’origine multiple existait au niveau de la gestion, par un module QuickTime, des redirections intersites. La consultation d’un site web malveillant peut entraîner la divulgation de données vidéo issues d’un autre site. Ce problème a été résolu en empêchant QuickTime de suivre les redirections intersites. Pour les systèmes Mac OS X v10.6, ce problème est résolu dans Mac OS X v10.6.7. Ce problème ne concerne pas les systèmes OS X Lion.

  • Référence CVE

  • CVE-2011-0187 : Nirankush Panchbhai et Microsoft Vulnerability Research (MSVR)

• QuickTime

  • Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 ou versions ultérieures

  • Conséquence : la lecture d’un fichier WAV malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  • Description : un problème de dépassement d’entier existait au niveau de la gestion, par QuickTime, des fichiers RIFF WAV. La lecture d’un fichier WAV malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Pour les systèmes Mac OS X v10.6, ce problème est résolu dans Mac OS X v10.6.8. Ce problème ne concerne pas les systèmes OS X Lion.

  • Référence CVE

  • CVE-2011-0209 : Luigi Auriemma en collaboration avec le programme Zero Day Initiative de TippingPoint.

• QuickTime

  • Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 ou versions ultérieures

  • Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

  • Description : un problème de corruption de la mémoire existait au niveau de la gestion, par QuickTime, des exemples de tables dans les fichiers vidéo. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Pour les systèmes Mac OS X v10.6, ce problème est résolu dans Mac OS X v10.6.8. Ce problème ne concerne pas les systèmes OS X Lion.

  • Référence CVE

  • CVE-2011-0210 : Honggang Ren de Fortinet FortiGuard Labs.

• QuickTime

  • Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 ou versions ultérieures

  • Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

  • Description : il existait un problème de dépassement d’entier au niveau de la gestion, par QuickTime, des canaux audio dans les fichiers vidéo. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Pour les systèmes Mac OS X v10.6, ce problème est résolu dans Mac OS X v10.6.8. Ce problème ne concerne pas les systèmes OS X Lion.

  • Référence CVE

  • CVE-2011-0211 : Luigi Auriemma en collaboration avec le programme Zero Day Initiative de TippingPoint.

• QuickTime

  • Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 ou versions ultérieures

  • Conséquence : l’affichage d’un fichier JPEG malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

  • Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion, par QuickTime, des images JPEG. L’affichage d’un fichier JPEG malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Pour les systèmes Mac OS X v10.6, ce problème est résolu dans Mac OS X v10.6.8. Ce problème ne concerne pas les systèmes OS X Lion.

  • Référence CVE

  • CVE-2011-0213 : Luigi Auriemma en collaboration avec iDefense VCP

• QuickTime

  • Disponible pour : Windows 7, Vista, XP SP2 ou version ultérieure.

  • Conséquence : l’affichage d’une image GIF malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  • Description : il existait un problème de dépassement de la mémoire tampon du tas dans la gestion, par QuickTime, des images GIF. L’affichage d’une image GIF malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Ce problème ne concerne pas les systèmes Mac OS X.

  • Référence CVE

  • CVE-2011-0246 : un contributeur anonyme en collaboration avec le programme SecuriTeam Secure Disclosure de Beyond Security

• QuickTime

  • Disponible pour : Windows 7, Vista, XP SP2 ou version ultérieure.

  • Conséquence : la lecture d’un fichier vidéo malveillant au format H.264 pourrait entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  • Description : de multiples dépassements de la mémoire tampon de pile se produisaient lors du traitement des fichiers vidéo encodés au format H.264. La lecture d’un fichier vidéo malveillant au format H.264 pourrait entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Ces problèmes ne concernent pas les systèmes Mac OS X.

  • Référence CVE

  • CVE-2011-0247 : Roi Mallo et Sherab Giovannini en collaboration avec le programme Zero Day Initiative de TippingPoint

• QuickTime

  • Disponible pour : Windows 7, Vista, XP SP2 ou version ultérieure.

  • Conséquence : la consultation d’un site web malveillant sur Internet Explorer peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  • Description : il existe un problème de dépassement de la mémoire tampon de pile au niveau de la gestion, par le contrôle ActiveX QuickTime, des fichiers QTL. La consultation d’un site web malveillant sur Internet Explorer peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Ce problème ne concerne pas les systèmes Mac OS X.

  • Référence CVE

  • CVE-2011-0248 : Chkr_d591 en collaboration avec le programme Zero Day Initiative de TippingPoint

• QuickTime

  • Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 ou versions ultérieures

  • Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

  • Description : il existe un problème de dépassement de la mémoire tampon du tas au niveau de la gestion des atomes STSC dans les fichiers vidéo QuickTime. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Ce problème ne concerne pas les systèmes OS X Lion.

  • Référence CVE

  • CVE-2011-0249 : Matt « j00ru » Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint

• QuickTime

  • Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 ou versions ultérieures

  • Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

  • Description : il existe un problème de dépassement de la mémoire tampon du tas au niveau de la gestion des atomes STSS dans les fichiers vidéo QuickTime. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Ce problème ne concerne pas les systèmes OS X Lion.

  • Référence CVE

  • CVE-2011-0250 : Matt « j00ru » Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint

• QuickTime

  • Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 ou versions ultérieures

  • Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

  • Description : il existe un problème de dépassement de la mémoire tampon du tas au niveau de la gestion des atomes STSZ dans les fichiers vidéo QuickTime. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Ce problème ne concerne pas les systèmes OS X Lion.

  • Référence CVE

  • CVE-2011-0251 : Matt « j00ru » Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint

• QuickTime

  • Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 ou versions ultérieures

  • Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

  • Description : il existe un problème de dépassement de la mémoire tampon du tas au niveau de la gestion des atomes STTS dans les fichiers vidéo QuickTime. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Ce problème ne concerne pas les systèmes OS X Lion.

  • Référence CVE

  • CVE-2011-0252 : Matt « j00ru » Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint

• QuickTime

  • Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 ou versions ultérieures

  • Conséquence : l’affichage d’un fichier PICT malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

  • Description : un problème de dépassement de la mémoire tampon de pile existait au niveau de la gestion des fichiers PICT. L’affichage d’un fichier PICT malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Ce problème ne concerne pas les systèmes Mac OS X 10.7.

  • Référence CVE

  • CVE-2011-0257 : Matt « j00ru » Jurczyk en collaboration avec le programme Zero Day Initiative de TippingPoint

• QuickTime

  • Disponible pour : Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 ou versions ultérieures

    Conséquence : la lecture d’un fichier multimédia malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.

  • Description : il existait un problème de dépassement d’entier au niveau de la gestion des atomes de suivi d’exécution dans les fichiers vidéo QuickTime. La lecture d’un fichier vidéo malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Pour les systèmes Mac OS X v10.6, ce problème est résolu dans Mac OS X v10.6.8. Ce problème ne concerne pas les systèmes Mac OS X v10.7.

  • Référence CVE

  • CVE-2011-0256 : un chercheur anonyme en collaboration avec le programme Zero Day Initiative de TippingPoint

• QuickTime

  • Disponible pour : Windows 7, Vista, XP SP2 ou version ultérieure.

  • Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code

  • Description : un problème de corruption de la mémoire existait au niveau de la gestion des descriptions d’image de tables dans les fichiers vidéo QuickTime. Ce problème ne concerne pas les systèmes Mac OS X.

  • Référence CVE

  • CVE-2011-0258 : Damian Put en collaboration avec le programme Zero Day Initiative de TippingPoint