Risques
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Les versions de QuickTime antérieures à 7.1.5, pour Apple Mac OS ou Microsoft Windows.
Résumé
Plusieurs vulnérabilités ont été identifiées dans le logiciel Apple QuickTime. Elles permettraient à une personne malveillante qui les exploiteraient de perturber l'application, voire d'exécuter des commandes arbitraires sur le système ayant une version vulnérable.
Description
Plusieurs vulnérabilités ont été identifiées dans le lecteur multimedia Apple QuickTime. Elles concernent une mauvaise manipulation de fichiers aux formats suivants :
- 3rd Generation Partnership Project (extensions de fichier : .3gp ou .3g2). Il s'agit d'un format de vidéos compressées prévues pour être diffusées sur les réseaux mobiles dits de troisième génération (3G).
- MIDI, ou Musical Instrument Digital Interface (extension .smf). Il s'agit d'un format destiné intialement à faire communiquer les instruments électroniques.
- Quicktime (extension : .mov). Il s'agit d'un format permettant de regrouper plusieurs types de données (texte, video ou audio par exemple).
- PICT (extension : .pct). Il s'agit d'un format vectoriel interne au fonctionnement de Macintosh.
- QTIF, ou Quicktime Image File Format (extension : .qif). Il s'agit d'un format permettant de regrouper plusieurs images compressées.
Ces vulnérabilités permettraient à une personne malveillante qui les exploiteraient de perturber l'application, voire d'exécuter des commandes arbitraires sur le système ayant une version vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apple du 06 mars 2007 : http://docs.info.apple.com/article.html?artnum=305149
- Bulletin de sécurité iDefense du 05 mars 2007 : http://www.idefense.com/application/poi/display?id=486
- Référence CVE CVE-2006-4965 https://www.cve.org/CVERecord?id=CVE-2006-4965
- Référence CVE CVE-2007-0711 https://www.cve.org/CVERecord?id=CVE-2007-0711
- Référence CVE CVE-2007-0712 https://www.cve.org/CVERecord?id=CVE-2007-0712
- Référence CVE CVE-2007-0713 https://www.cve.org/CVERecord?id=CVE-2007-0713
- Référence CVE CVE-2007-0714 https://www.cve.org/CVERecord?id=CVE-2007-0714
- Référence CVE CVE-2007-0715 https://www.cve.org/CVERecord?id=CVE-2007-0715
- Référence CVE CVE-2007-0716 https://www.cve.org/CVERecord?id=CVE-2007-0716
- Référence CVE CVE-2007-0717 https://www.cve.org/CVERecord?id=CVE-2007-0717
- Référence CVE CVE-2007-0718 https://www.cve.org/CVERecord?id=CVE-2007-0718