Risques
- Déni de service
- Exécution de code arbitraire à distance
Systèmes affectés
QuickTime versions 7.0.3 et antérieures.
Résumé
Plusieurs vulnérabilités ont été découvertes dans QuickTime permettant l'exécution de code arbitraire à distance ou la réalisation d'un déni de service.
Description
- Une vulnérabilité a été découverte dans le traitement des images au format QTIF (QuickTime Image). Un utilisateur mal intentionné peut, par le biais d'une image au format QTIF malicieusement constituée, exécuter du code arbitraire à distance (CVE-2005-2340) ;
- une vulnérabilité a été découverte dans le traitement des images au format TGA (Truevision Targa Graphic). Un utilisateur mal intentionné peut, par le biais d'une image au format TGA malicieusement constituée, exécuter du code arbitraire à distance ou réaliser un déni de service (CVE-2005-3707, CVE-2005-3708, CVE-2005-3709) ;
- une vulnérabilité a été découverte dans le traitement des images au format TIFF (Tagged Image File Format). Un utilisateur mal intentionné peut, par le biais d'une image au format TIFF malicieusement constituée, exécuter du code arbitraire à distance ou réaliser un déni de service (CVE-2005-3710, CVE-2005-3711) ;
- une vulnérabilité a été découverte dans le traitement des images au format GIF (Graphic Interchange Format). Un utilisateur mal intentionné peut, par le biais d'une image au format GIF malicieusement constituée, exécuter du code arbitraire à distance (CVE-2005-3713) ;
- une vulnérabilité a été découverte dans le traitement des fichiers media. Un utilisateur mal intentionné peut, par le biais d'un fichier media malicieusement constitué, exécuter du code arbitraire à distance (CVE-2005-4092).
Solution
Mettre à jour QuickTime en version 7.0.4 (voir Documentation).
Documentation
- Bulletin de sécurité Apple du 10 janvier 2006 http://docs.info.apple.com/article.html?artnum=61798
- Téléchargement de la version 7.0.4 de QuickTime : http://www.apple.com/quicktime
- Référence CVE CVE-2005-2340 https://www.cve.org/CVERecord?id=CVE-2005-2340
- Référence CVE CVE-2005-3707 https://www.cve.org/CVERecord?id=CVE-2005-3707
- Référence CVE CVE-2005-3708 https://www.cve.org/CVERecord?id=CVE-2005-3708
- Référence CVE CVE-2005-3709 https://www.cve.org/CVERecord?id=CVE-2005-3709
- Référence CVE CVE-2005-3710 https://www.cve.org/CVERecord?id=CVE-2005-3710
- Référence CVE CVE-2005-3711 https://www.cve.org/CVERecord?id=CVE-2005-3711
- Référence CVE CVE-2005-3713 https://www.cve.org/CVERecord?id=CVE-2005-3713
- Référence CVE CVE-2005-4092 https://www.cve.org/CVERecord?id=CVE-2005-4092