Maj Itunes & Quicktime

[Invité wizard42]

Salut

 

Itunes vient d'étre mis a jours en version 7.5 et Quicktime en version 7.3

 

iTunes 7.5 doit corriger quelques bugs et améliorer les performances et la stabilité du programme. Inutile de préciser qu'il bloque également certains programmes non-officiels comme iToner (qui permet de charger des sonneries sur l'iPhone).

Source: Clubic

 

Ce document décrit le contenu sécuritaire inclus dans QuickTime 7.3, qui peut être téléchargé et installé grâce à l’option Mise à jour de logiciels ou depuis la page des Téléchargements Apple. Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, consultez la page Sécurité produit d’Apple.

 

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

 

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

 

Pour connaître les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

 

 

QuickTime 7.3

• QuickTime
   
  Références CVE : CVE-2007-2395
   
  Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou ultérieur, Mac OS X v10.5, Windows Vista, XP SP2
   
  Conséquences : l’affichage d’un fichier séquence construit de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque
   
  Description : il existe un problème de corruption de la mémoire au niveau de la gestion par QuickTime des atomes de description d’images. En poussant un utilisateur à ouvrir un fichier séquence construit de manière malveillante, un attaquant peut provoquer un blocage inattendu d’application ou l’exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les descriptions d’images QuickTime. Nous remercions Dylan Ashe d’Adobe Systems Incorporated pour avoir signalé ce problème.
  

• QuickTime
   
  Références CVE : CVE-2007-3750
   
  Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou ultérieur, Mac OS X v10.5, Windows Vista, XP SP2
   
  Conséquences : l’affichage d’un fichier séquence construit de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque
   
  Description : il existe un dépassement de mémoire tampon au niveau de la gestion par QuickTime Player des atomes STSD (Sample Table Sample Descriptor). En poussant un utilisateur à ouvrir un fichier séquence construit de manière malveillante, un attaquant peut provoquer un blocage inattendu d’application ou l’exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les atomes STSD. Nous remercions Tobias Klein de www.trapkit.de pour avoir signalé ce problème.
  

• QuickTime
   
  Références CVE : CVE-2007-3751
   
  Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou ultérieur, Mac OS X v10.5, Windows Vista, XP SP2
   
  Conséquences : des applets Java non fiables peuvent obtenir des permissions élevées
   
  Description : il existe dans QuickTime pour Java plusieurs vulnérabilités susceptibles de permettre à des applets Java non fiables d’obtenir des permissions élevées. En poussant un utilisateur à consulter une page web contenant une applet Java construite de manière malveillante, un attaquant peut provoquer la divulgation d’informations sensibles et l’exécution de code quelconque avec des privilèges élevés. Cette mise à jour résout le problème en empêchant les applets Java non fiables d’accéder à QuickTime pour Java. Nous remercions Adam Gowdiak pour avoir signalé ce problème.
  

• QuickTime
   
  Références CVE : CVE-2007-4672
   
  Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou ultérieur, Mac OS X v10.5, Windows Vista, XP SP2
   
  Conséquences : l’ouverture d’une image PICT construite de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque
   
  Description : il existe un dépassement de la mémoire tampon de la pile dans le traitement des images PICT. En poussant un utilisateur à ouvrir une image construite de manière malveillante, un attaquant peut provoquer un blocage inattendu d’application ou l’exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les fichiers PICT. Nous remercions Ruben Santamarta de reversemode.com, qui travaille avec TippingPoint et Zero Day Initiative, pour avoir signalé ce problème.
  

• QuickTime
   
  Références CVE : CVE-2007-4676
   
  Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou ultérieur, Mac OS X v10.5, Windows Vista, XP SP2
   
  Conséquences : l’ouverture d’une image PICT construite de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque
   
  Description : il existe un dépassement de mémoire tampon dans le traitement des images PICT. En poussant un utilisateur à ouvrir une image construite de manière malveillante, un attaquant peut provoquer un blocage inattendu d’application ou l’exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les fichiers PICT. Nous remercions Ruben Santamarta de reversemode.com, qui travaille avec TippingPoint et Zero Day Initiative, pour avoir signalé ce problème.
  

• QuickTime
   
  Références CVE : CVE-2007-4675
   
  Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou ultérieur, Mac OS X v10.5, Windows Vista, XP SP2
   
  Conséquences : l’affichage d’un fichier séquence QTVR construit de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque
   
  Description : il existe un dépassement de mémoire tampon au niveau de la gestion par QuickTime des atomes d’exemples de panoramas dans les séquences QTVR (QuickTime Virtual Reality). En poussant un utilisateur à afficher un fichier QTVR construit de manière malveillante, un attaquant peut provoquer un blocage inattendu d’application ou l’exécution de code quelconque. Cette mise à jour résout le problème en effectuant des contrôles de limitation des zones adressables sur les atomes d’exemples de panoramas. Nous remercions Mario Ballano de 48bits.com, qui travaillent avec le programme VPC de VeriSign iDefense, pour avoir signalé ce problème.
  

• QuickTime
   
  Références CVE : CVE-2007-4677
   
  Disponible pour : Mac OS X v10.3.9, Mac OS X v10.4.9 ou ultérieur, Mac OS X v10.5, Windows Vista, XP SP2
   
  Conséquences : l’affichage d’un fichier séquence construit de manière malveillante peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque
   
  Description : il existe un dépassement de mémoire tampon au niveau de l’analyse des atomes de la table des couleurs lors de l’ouverture d’un fichier séquence. En poussant un utilisateur à ouvrir un fichier séquence construit de manière malveillante, un attaquant peut provoquer un blocage inattendu d’application ou l’exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les atomes de la table des couleurs. Nous remercions Ruben Santamarta de reversemode.com et Mario Ballano de 48bits.com, travaillant avec TippingPoint et Zero Day Initiative, pour avoir signalé ce problème.
  

 

Rendez vous sur http://www.apple.com/itunes/download/ (Itune&Quicktime) http://www.apple.com/quicktime/download/ (Quicktime) ou via l'outil de mise a jour apple

Modifié le 6 novembre 2007 par wizard42