Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Avis du CERTA : Vulnérabilités dans Apple QuickTime et iPhoto

février 2008 par CERT-FR

1 Risque

* Exécution de code arbitraire à distance ;
* déni de service à distance ;
* contournement de la politique de sécurité.

2 Systèmes affectés

* Les versions d’Apple QuickTime antérieures à 7.4.1 ;
* les versions d’Apple iPhoto antérieures à 7.1.2.

3 Résumé

Plusieurs vulnérabilités ont été identifiées dans les applications Apple
QuickTime et iPhoto. L’une d’elles a d’ailleurs fait l’objet de l’alerte
CERTA-2008-ALE-001 publiée le 11 janvier 2008.

Les conséquences de l’exploitation de ces vulnérabilités sont variées,
permettant pour certaines d’exécuter du code arbitraire à distance sur un
système vulnérable.

4 Description

Plusieurs vulnérabilités ont été identifiées dans les applications Apple
QuickTime et iPhoto.

L’une d’elles, sur QuickTime, a d’ailleurs fait l’objet de l’alerte
CERTA-2008-ALE-001 publiée le 11 janvier 2008. Elle concerne un dépassement de
mémoire tampon lors d’une tentative infructueuse de lecture de lecture d’un
fichier via le protocole Real Time Streaming Protocol (RTSP).

iPhoto, quant à lui, ne manipulerait pas correctement certaines diffusions de
photos (photocast) spécialement construites.

5 Solution

Se référer aux bulletins de sécurité de l’éditeur pour l’obtention des
correctifs (cf. section Documentation).

6 Documentation

* Document du CERTA CERTA-2008-ALE-001 du 14 janvier 2008 :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ALE-001/index.html

* Bulletin de sécurité Apple 307407 du 04 février 2008 :

http://docs.info.apple.com/article.html?artnum=307407

* Bulletin de sécurité Apple 307398 du 04 février 2008 :

http://docs.info.apple.com/article.html?artnum=307398

* Référence CVE CVE-2008-0234 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0234

* Référence CVE CVE-2008-0043 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0043


Voir les articles précédents

    

Voir les articles suivants