Informationen zum Sicherheitsinhalt von QuickTime 7.3.1

In diesem Dokument wird der Sicherheitsinhalt von QuickTime 7.3.1 beschrieben, das über die Einstellungen für „Softwareupdates“ oder über die Downloads-Seite auf der Apple-Website geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.

QuickTime 7.3.1

QuickTime

CVE-ID: CVE-2007-6166

Verfügbar für: Mac OS X v10.3.9, Mac OS X v10.4.9 oder neuer, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2

Auswirkung: Das Öffnen eines in böser Absicht erstellten RTSP-Films kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der Verarbeitung von RTSP-Headern (Real Time Streaming Protocol) durch QuickTime tritt ein Pufferüberlauf auf. Indem ein Angreifer einen Benutzer dazu verleitet, einen in böser Absicht erstellten RTSP-Film anzusehen, kann er einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen. Dieses Update behebt das Problem, indem sichergestellt wird, dass der Zielpuffer groß genug für die Daten ist.

QuickTime

CVE-ID: CVE-2007-4706

Verfügbar für: Mac OS X v10.3.9, Mac OS X v10.4.9 oder neuer, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2

Auswirkung: Das Öffnen einer in böser Absicht erstellten QTL-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der Verarbeitung von QTL-Dateien durch QuickTime tritt ein Heap-Pufferüberlauf auf. Indem ein Angreifer einen Benutzer dazu verleitet, eine in böser Absicht erstellte QTL-Datei anzuzeigen, kann er einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsüberprüfung.

QuickTime

CVE-ID: CVE-2007-4707

Verfügbar für: Mac OS X v10.3.9, Mac OS X v10.4.9 oder neuer, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2

Auswirkung: Der Flash-Media-Handler von QuickTime weist mehrere Schwachstellen auf.

Beschreibung: Im Flash-Media-Handler von QuickTime gibt es mehrere Schwachstellen. Die schwerwiegendste dieser Schwachstellen kann zur Ausführung willkürlichen Codes führen. Mit diesem Update wird der Flash-Media-Handler von QuickTime deaktiviert – mit Ausnahme einer begrenzten Anzahl bestehender QuickTime-Filme, die als sicher gelten. Wir danken Tom Ferris vom Adobe Secure Software Engineering Team (ASSET), Mike Price von McAfee Avert Labs, den Sicherheitsforschern Lionel d'Hauenens und Brian Mariani von Syseclabs und einem anonymen Forscher, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet, dafür, dass sie dieses Problem gemeldet haben.