CERTA : Multiples vulnérabilités d’Apple QuickTime
décembre 2007 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* déni de service à distance.
2 Systèmes affectés
* Apple QuickTime versions antérieures à 7.3.1.
3 Résumé
De multiples vulnérabilités dans Apple QuickTime permettent d’effectuer un déni
de service ou d’exécuter du code arbitraire à distance.
4 Description
De multiples vulnérabilités affectent QuickTime :
* la première, CVE-2007-6166, décrite dans l’alerte CERTA-2007-ALE-017
concerne la prise en charge des flux RTSP ;
* la seconde, CVE-2007-4706, concerne la gestion des fichiers de liens
QuickTime (possédant l’extension QTL). Cette vulnérabilité pourrait
permettre à un utilisateur distant d’exécuter du code arbitraire ou de
réaliser un déni de service par le biais d’un débordement de mémoire ;
* la dernière, CVE-2007-4707, concerne le composant Flash media handler de
QuickTime. Ce composant est sujet à de multiples vulnérabilités dont
certaines permettent à un utilisateur distant d’exécuter du code
arbitraire. Le correctif fournit par Apple consiste à n’activer ce
composant que pour des vidéos existantes et de confiance au format
QuickTime.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité QuickTime du 13 décembre 2007 :
http://docs.info.apple.com/article.html?artnum=307176
* Alerte du CERTA CERTA-2007-ALE-017 du 27 novembre 2007 :
http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-017/
* Référence CVE CVE-2007-6166 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6166
* Référence CVE CVE-2007-4706 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4706
* Référence CVE CVE-2007-4707 :