CERTA : Vulnérabilités dans Apple QuickTime
janvier 2008 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* déni de service à distance.
2 Systèmes affectés
* Apple QuickTime, pour les versions antérieures à 7.4.
3 Résumé
Plusieurs vulnérabilités ont été identifiées dans Apple QuickTime. Elles
permettraient, exploitées par le biais de fichiers multimédia spécialement
construits, d’exécuter des commandes arbitraires sur le système ayant un
lecteur vulnérable.
4 Description
Plusieurs vulnérabilités ont été identifiées dans Apple QuickTime. Elles
concernent les fichiers multimédia au format vidéo Sorenson 3 et les images
PICT, ainsi que la manipulation des informations Macintosh Resource d’un
fichier vidéo ou l’analyse des atomes de description d’images (IDSC).
Ces vulnérabilités peuvent être exploitées par le biais de fichiers multimédia
spécialement construits. La lecture de ceux-ci pourrait alors permettre
d’exécuter du code arbitraire sur le système ayant une version de QuickTime
vulnérable.
5 Solution
Se référer au bulletin de sécurité Apple 307301 pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité Apple 307301-fr du 15 janvier 2008 :
http://docs.info.apple.com/article.html?artnum=307301-fr
* Référence CVE CVE-2007-0031 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0031
* Référence CVE CVE-2008-0032 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0032
* Référence CVE CVE-2008-0033 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0033
* Référence CVE CVE-2008-0033 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0033
* Référence CVE CVE-2008-0036 :