Vulnérabilités dans QuickTime

Risque

Exécution de code arbitraire à distance ;
déni de service.

Systèmes affectés

QuickTime versions 7.0.3 et antérieures.

Résumé

Plusieurs vulnérabilités ont été découvertes dans QuickTime permettant l'exécution de code arbitraire à distance ou la réalisation d'un déni de service.

Description

Une vulnérabilité a été découverte dans le traitement des images au format QTIF (QuickTime Image). Un utilisateur mal intentionné peut, par le biais d'une image au format QTIF malicieusement constituée, exécuter du code arbitraire à distance (CVE-2005-2340) ;
une vulnérabilité a été découverte dans le traitement des images au format TGA (Truevision Targa Graphic). Un utilisateur mal intentionné peut, par le biais d'une image au format TGA malicieusement constituée, exécuter du code arbitraire à distance ou réaliser un déni de service (CVE-2005-3707, CVE-2005-3708, CVE-2005-3709) ;
une vulnérabilité a été découverte dans le traitement des images au format TIFF (Tagged Image File Format). Un utilisateur mal intentionné peut, par le biais d'une image au format TIFF malicieusement constituée, exécuter du code arbitraire à distance ou réaliser un déni de service (CVE-2005-3710, CVE-2005-3711) ;
une vulnérabilité a été découverte dans le traitement des images au format GIF (Graphic Interchange Format). Un utilisateur mal intentionné peut, par le biais d'une image au format GIF malicieusement constituée, exécuter du code arbitraire à distance (CVE-2005-3713) ;
une vulnérabilité a été découverte dans le traitement des fichiers media. Un utilisateur mal intentionné peut, par le biais d'un fichier media malicieusement constitué, exécuter du code arbitraire à distance (CVE-2005-4092).

Solution

Mettre à jour QuickTime en version 7.0.4 (voir Documentation).

Documentation

Téléchargement de la version 7.0.4 de QuickTime :
```
http://www.apple.com/quicktime
```

Bulletin de sécurité Apple du 10 janvier 2006 :

http://docs.info.apple.com/article.html?artnum=61798

Référence CVE CVE-2005-2340 :

https://www.cve.org/CVERecord?id=CVE-2005-2340

Référence CVE CVE-2005-3707 :

https://www.cve.org/CVERecord?id=CVE-2005-3707

Référence CVE CVE-2005-3708 :

https://www.cve.org/CVERecord?id=CVE-2005-3708

Référence CVE CVE-2005-3709 :

https://www.cve.org/CVERecord?id=CVE-2005-3709

Référence CVE CVE-2005-3710 :

https://www.cve.org/CVERecord?id=CVE-2005-3710

Référence CVE CVE-2005-3711 :

https://www.cve.org/CVERecord?id=CVE-2005-3711

Référence CVE CVE-2005-3713 :

https://www.cve.org/CVERecord?id=CVE-2005-3713

Référence CVE CVE-2005-4092 :

https://www.cve.org/CVERecord?id=CVE-2005-4092

Référence	CERTA-2006-AVI-019
Titre	Vulnérabilités dans QuickTime
Date de la première version	11 janvier 2006
Date de la dernière version	11 janvier 2006
Source(s)	Bulletin de sécurité Apple du 10 janvier 2006
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Vulnérabilités dans QuickTime

Gestion du document