Risque
- Exécution de code arbitraire à distance ;
- déni de service.
Systèmes affectés
QuickTime versions 7.0.3 et antérieures.
Résumé
Plusieurs vulnérabilités ont été découvertes dans QuickTime permettant l'exécution de code arbitraire à distance ou la réalisation d'un déni de service.
Description
- Une vulnérabilité a été découverte dans le traitement des images au format QTIF (QuickTime Image). Un utilisateur mal intentionné peut, par le biais d'une image au format QTIF malicieusement constituée, exécuter du code arbitraire à distance (CVE-2005-2340) ;
- une vulnérabilité a été découverte dans le traitement des images au format TGA (Truevision Targa Graphic). Un utilisateur mal intentionné peut, par le biais d'une image au format TGA malicieusement constituée, exécuter du code arbitraire à distance ou réaliser un déni de service (CVE-2005-3707, CVE-2005-3708, CVE-2005-3709) ;
- une vulnérabilité a été découverte dans le traitement des images au format TIFF (Tagged Image File Format). Un utilisateur mal intentionné peut, par le biais d'une image au format TIFF malicieusement constituée, exécuter du code arbitraire à distance ou réaliser un déni de service (CVE-2005-3710, CVE-2005-3711) ;
- une vulnérabilité a été découverte dans le traitement des images au format GIF (Graphic Interchange Format). Un utilisateur mal intentionné peut, par le biais d'une image au format GIF malicieusement constituée, exécuter du code arbitraire à distance (CVE-2005-3713) ;
- une vulnérabilité a été découverte dans le traitement des fichiers media. Un utilisateur mal intentionné peut, par le biais d'un fichier media malicieusement constitué, exécuter du code arbitraire à distance (CVE-2005-4092).
Solution
Mettre à jour QuickTime en version 7.0.4 (voir Documentation).
Documentation
- Téléchargement de la version 7.0.4 de QuickTime :
http://www.apple.com/quicktime
- Bulletin de sécurité Apple du 10 janvier 2006 :
http://docs.info.apple.com/article.html?artnum=61798
- Référence CVE CVE-2005-2340 :
https://www.cve.org/CVERecord?id=CVE-2005-2340
- Référence CVE CVE-2005-3707 :
https://www.cve.org/CVERecord?id=CVE-2005-3707
- Référence CVE CVE-2005-3708 :
https://www.cve.org/CVERecord?id=CVE-2005-3708
- Référence CVE CVE-2005-3709 :
https://www.cve.org/CVERecord?id=CVE-2005-3709
- Référence CVE CVE-2005-3710 :
https://www.cve.org/CVERecord?id=CVE-2005-3710
- Référence CVE CVE-2005-3711 :
https://www.cve.org/CVERecord?id=CVE-2005-3711
- Référence CVE CVE-2005-3713 :
https://www.cve.org/CVERecord?id=CVE-2005-3713
- Référence CVE CVE-2005-4092 :
https://www.cve.org/CVERecord?id=CVE-2005-4092