Risque
- Exécution de code arbitraire à distance
Systèmes affectés
QuickTime versions 7.6.7 et antérieures.
Résumé
Deux vulnérabilités dans QuickTime permettent l'exécution de code arbitraire à distance.
Description
Deux vulnérabilités ont été découvertes dans QuickTime :
- un paramètre spécifique passé au contrôle ActiveX QTPlugin.ocx permet l'exécution de code arbitraire à distance (CVE-2010-1818). Cette vulnérabilité avait fait l'objet de l'alerte CERTA-2010-ALE-013 ;
- un problème lors de la recherche de bibliothèques dynamiques dans QuickTime Picture Viewer permet l'exécution de code arbitraire à distance (CVE-2010-1819).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apple HT4339 du 15 septembre 2010 http://support.apple.com/kb/HT4339
- Alerte CERTA-2010-ALE-013 : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-013/
- Référence CVE CVE-2010-1818 https://www.cve.org/CVERecord?id=CVE-2010-1818
- Référence CVE CVE-2010-1819 https://www.cve.org/CVERecord?id=CVE-2010-1819
