Accueil ![](/web/20061026004221im_/http://www.psepc-sppcc.gc.ca/world/site/images/spacer.gif) ![](/web/20061026004221im_/http://www.psepc-sppcc.gc.ca/world/site/images/breadcrumb_arrow.gif) Programmes ![](/web/20061026004221im_/http://www.psepc-sppcc.gc.ca/world/site/images/spacer.gif) ![](/web/20061026004221im_/http://www.psepc-sppcc.gc.ca/world/site/images/breadcrumb_arrow.gif) Gestion des urgences ![](/web/20061026004221im_/http://www.psepc-sppcc.gc.ca/world/site/images/spacer.gif) ![](/web/20061026004221im_/http://www.psepc-sppcc.gc.ca/world/site/images/breadcrumb_arrow.gif) Intervention ![](/web/20061026004221im_/http://www.psepc-sppcc.gc.ca/world/site/images/spacer.gif) ![](/web/20061026004221im_/http://www.psepc-sppcc.gc.ca/world/site/images/breadcrumb_arrow.gif) CCRIC ![](/web/20061026004221im_/http://www.psepc-sppcc.gc.ca/world/site/images/spacer.gif) ![](/web/20061026004221im_/http://www.psepc-sppcc.gc.ca/world/site/images/breadcrumb_arrow.gif) Diffusions analytiques2 ![](/web/20061026004221im_/http://www.psepc-sppcc.gc.ca/world/site/images/spacer.gif) ![](/web/20061026004221im_/http://www.psepc-sppcc.gc.ca/world/site/images/breadcrumb_arrow.gif) AV06-032 : Vulnérabilités de saturation de mémoire tampon et de nombres entiers lors du traitement de fichiers multimédia dans Apple QuickTime
Numéro : AV06-032 Date : 13 septembre 2006 ObjetLe présent avis a pour objet d’attirer votre attention sur de multiples vulnérabilités qui ont été identifiées dans Apple QuickTime. ÉvaluationDe multiples vulnérabilités ont été identifiées dans Apple QuickTime. Un attaquant qui réussit à les exploiter à distance pourrait prendre le contrôle complet du système touché. Le premier problème concerne une erreur de saturation de nombre entier qui se produit lorsque le logiciel traite des séquences vidéo H.264 mal formées. Ce problème pourrait être exploité par des attaquants pour exécuter des commandes arbitraires au moyen d’un site Web malicieux. La deuxième défectuosité est causée par une erreur de saturation de mémoire tampon lorsque le logiciel traite une séquence vidéo H.264 spécialement conçue. Cette erreur pourrait être exploitée par des attaquants pour exécuter des commandes arbitraires en incitant un utilisateur à visiter un site Web malicieux. La troisième vulnérabilité est causée par une erreur de saturation de mémoire tampon qui se produit lorsque le logiciel traite des séquences vidéo QuickTime mal formées. Cette erreur pourrait être exploitée par des attaquants à distance pour exécuter des commandes arbitraires au moyen d’un site Web malicieux. La quatrième défectuosité est causée par une erreur de saturation de mémoire tampon qui se produit lorsque le logiciel traite des séquences vidéo FLC contenant un bloc « COLOR_64 » spécialement conçu. Cette erreur pourrait être exploitée par des attaquants pour exécuter des commandes arbitraires en incitant un utilisateur à visiter un site Web malicieux. Le cinquième problème est causé par des erreurs de saturation de mémoire tampon et de nombres entiers qui se produisent lorsque le logiciel traite des fichiers FlashPix mal formés. Ces erreurs pourraient être exploitées par des attaquants pour exécuter des commandes arbitraires au moyen d’un site Web malicieux. La sixième vulnérabilité est causée par des objets non initialisés lorsque le logiciel traite un fichier FlashPix spécialement conçu. Cette vulnérabilité pourrait être exploitée par des attaquants pour exécuter des commandes arbitraires en incitant un utilisateur à visiter un site Web malicieux. Le septième problème découle d’une erreur de saturation de mémoire tampon qui se produit lorsque le logiciel traite une image SGI mal formée. Cette erreur pourrait être exploitée par des attaquants pour exécuter des commandes arbitraires au moyen d’un site Web malicieux. Ces vulnérabilités touchent les versions d’Apple QuickTime antérieures à la version 7.1.3. Mesure suggéréeSPPCC recommande aux administrateurs de tester et d’installer Apple QuickTime 7.1.3 qui est disponible à l’adresse : http://www.apple.com/quicktime/ Pour obtenir plus d’information, veuillez consulter les pages Web suivantes : http://www.frsirt.com/english/advisories/2006/3577 http://docs.info.apple.com/article.html?artnum=304357 Avis aux lecteursLe Centre canadien de réponse aux incidents cybernétiques (CCRIC) recueille des renseignements concernant les menaces et les incidents cybernétiques contre les infrastructures essentielles du Canada. Cela nous permet de surveiller et d'analyser les menaces, de même que de diffuser des alertes, des avis de sécurité et d’autres produits d’information. Pour signaler des menaces ou des incidents, veuillez communiquer avec le Centre des opérations du gouvernement (COG) au (613) 991-7000 ou à l'adresse cog-goc@sppcc.gc.ca. L'utilisation non autorisée de systèmes informatiques et les méfaits en matière de données constituent de graves infractions au Code criminel canadien. Toute activité criminelle présumée doit être signalée aux autorités policières locales. Le Centre national des opérations (CNO) de la Gendarmerie royale du Canada (GRC) reçoit de tels rapports 24 heures sur 24 et 7 jours sur 7 ou réachemine les appels aux autorités policières locales. On peut rejoindre le CNO au (613) 993-4460. Les préoccupations liées à la sécurité nationale doivent être transmises au Service canadien du renseignement de sécurité (SCRS) au (613) 993-9620. En cas de questions urgentes, ou pour signaler des incidents, veuillez communiquer avec le Centre des opérations du gouvernement au: Téléphone : (613) 991-7000 Télécopieur : (613) 996-0995 Télécopieur sécuritaire : (613) 991-7094 Courriel : cog-goc@sppcc.gc.ca Pour des renseignements généraux sur la protection des infrastructures essentielles et la protection civile, veuillez communiquer avec la direction des Affaires publiques du SPPCC: Téléphone : (613) 944-4875 ou 1-800-830-3118 Télécopieur : (613) 998-9589 Courriel : communications@sppcc.gc.ca
|