Vulnérabilités dans le traitement des fichiers dans Apple

AV07-099
Date : 6 novembre 2007

Objet

Cet avis a pour objet d’attirer votre attention sur de multiples vulnérabilités dans Apple Quicktime.

Évaluation

Les sept vulnérabilités ci-dessous ont été identifiées :

• Une erreur d’altération de la mémoire lors du traitement d’atomes de description d’image mal formés pourrait être exploitée pour exécuter du code arbitraire si l’attaquant incite un utilisateur à ouvrir une séquence vidéo malicieuse.
• Une erreur de saturation de tas lors du traitement d’atomes STSD (Sample Table Sample Descriptor) mal formés pourrait être exploitée pour exécuter du code arbitraire si l’attaquant incite un utilisateur à ouvrir une séquence vidéo malicieuse.
  
• Une erreur dans QuickTime for Java pourrait permettre à des applets Java non fiables d’obtenir des privilèges élevés et de divulguer de l'information sensible ou exécuter du code arbitraire.
  
• Une erreur de saturation de pile lors du traitement d’images PICT pourrait être exploitée pour exécuter du code arbitraire si l’attaquant incite un utilisateur à ouvrir une image malicieuse.
  
• Une erreur de saturation de tas lors du traitement d’images PICT pourrait être exploitée pour exécuter du code arbitraire si l’attaquant incite un utilisateur à ouvrir une image malicieuse.
  
• Une erreur de saturation de tas lors du traitement d’atomes d’échantillon de panorama mal formés dans des fichiers vidéo QTVR (QuickTime Virtual Reality) pourrait être exploitée pour exécuter du code arbitraire si l’attaquant incite un utilisateur à ouvrir une séquence vidéo QTVR malicieuse.
  
• Une erreur de saturation de tas lors de l’interprétation de l’atome de table de couleurs pendant l’ouverture d’une séquence vidéo pourrait être exploitée pour exécuter du code arbitraire si l’attaquant incite un utilisateur à ouvrir un fichier vidéo malicieux.

Produits touchés :

• Versions d’Apple QuickTime avant la version 7.3

Mesure suggérée

Le CCRIC recommande aux administrateurs de tester et d’installer la version 7.3 d’Apple Quicktime à la première occasion.

Référence (en anglais) :

Avis aux lecteurs

Sécurité publique Canada (SP) recueille des renseignements concernant les menaces et les incidents cybernétiques et matériels contre les infrastructures essentielles (IE) du Canada. Ceci permet à SP de surveiller et d'analyser les menaces et de diffuser des alertes, des avis de sécurité, ainsi que d'autres produits d'information à nos partenaires.

Le Centre des opérations du gouvernement (COG) représente le centre de coordination stratégique du gouvernement du Canada, dans sa réponse aux événements ponctuels et aux tendances émergentes qui sont d'intérêt d'envergure nationale, incluant les menaces contre et les incidents affectant les infrastructures essentielles (IE) du Canada. Le COG recueille, partage et coordonne les flux d'informations avec les différents ministères et organismes fédéraux, les partenaires des provinces et territoires ainsi que les partenaires internationaux.

En cas de questions urgentes, ou pour signaler des incidents, veuillez communiquer avec le Centre des opérations du gouvernement au :

Téléphone : 613-991-7000
Télécopieur : 613-996-0995
Télécopieur sécuritaire : 613-991-7094
Courriel : goc-cog@sp-ps.gc.ca

Pour des renseignements généraux sur la protection des infrastructures essentielles et la protection civile, veuillez communiquer avec la direction des Affaires publiques du SP :

Téléphone : 613-944-4875 ou 1-800-830-3118
Télécopieur : 613-998-9589
Courriel : communications@sp-ps.gc.ca