Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Toutes les versions de Apple QuickTime antérieures à la 7.6.
Résumé
Plusieurs vulnérabilités affectant le logiciel Apple QuickTime et permettant l'exécution de code arbitraire à distances ont été corrigées.
Description
Sept vulnérabilités affectant le logiciel Apple QuickTime, concernant le traitement de différents formats de fichiers et permettant l'exécution de code arbitraire ont été corrigées (CVE-2009-0001 à CVE-2009-0007). Elles concernent :
- le traitement des adresses RTSP (Real Time Streaming Protocol) ;
- les fichiers au format QTVR ;
- la lecture des fichiers AVI ;
- les fichiers au format MPEG-2 contenant du son au format MP3 ;
- les films compressés au format H.263 ;
- les vidéos utilisant la compression Cinepak ;
- les films contenant des images JPEG au format ATOM ;
Une autre vulnérabilité affectant le composant optionnel MPEG-2 Playback pour Windows a été corrigée dans la version 7.60.92.0 (CVE-2009-0008).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apple HT3403 et HT3404 du 21 janvier 2009 : http://support.apple.com/kb/HT3403
- Bulletin de sécurité Apple HT3403 et HT3404 du 21 janvier 2009 : http://support.apple.com/kb/HT3404
- Référence CVE CVE-2009-0001 https://www.cve.org/CVERecord?id=CVE-2009-0001
- Référence CVE CVE-2009-0002 https://www.cve.org/CVERecord?id=CVE-2009-0002
- Référence CVE CVE-2009-0003 https://www.cve.org/CVERecord?id=CVE-2009-0003
- Référence CVE CVE-2009-0004 https://www.cve.org/CVERecord?id=CVE-2009-0004
- Référence CVE CVE-2009-0005 https://www.cve.org/CVERecord?id=CVE-2009-0005
- Référence CVE CVE-2009-0006 https://www.cve.org/CVERecord?id=CVE-2009-0006
- Référence CVE CVE-2009-0007 https://www.cve.org/CVERecord?id=CVE-2009-0007
- Référence CVE CVE-2009-0008 https://www.cve.org/CVERecord?id=CVE-2009-0008
