Over de beveiligingsinhoud van QuickTime 7.3.1

In dit document wordt de beveiligingsinhoud van QuickTime 7.3.1 beschreven. Deze versie kan worden gedownload en geïnstalleerd via het voorkeurenpaneel Software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

QuickTime 7.3.1

QuickTime

CVE-ID: CVE-2007-6166

Beschikbaar voor: Mac OS X v10.3.9, Mac OS X v10.4.9 of nieuwer, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2

Impact: Het bekijken van een kwaadwillig vervaardigde RTSP-film kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: Er kan een bufferoverloop optreden tijdens de verwerking van RTSP-kopteksten (Real Time Streaming Protocol) in QuickTime. Door een gebruiker te verleiden om een kwaadwillig vervaardigde RTSP-film te bekijken, kan een aanvaller een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code veroorzaken. Deze update lost het probleem op door ervoor te zorgen dat de doelbuffer groot genoeg is om de gegevens te bevatten.

QuickTime

CVE-ID: CVE-2007-4706

Beschikbaar voor: Mac OS X v10.3.9, Mac OS X v10.4.9 of nieuwer, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2

Impact: Het bekijken van een kwaadwillig vervaardigd QTL-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: Er kan een heapbufferoverloop optreden bij de verwerking van QTL-bestanden in QuickTime. Door een gebruiker te verleiden om een kwaadwillig vervaardigd QTL-bestand te bekijken, kan een aanvaller een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code veroorzaken. Deze update lost het probleem op door verbeterde bereikcontrole.

QuickTime

CVE-ID: CVE-2007-4707

Beschikbaar voor: Mac OS X v10.3.9, Mac OS X v10.4.9 of nieuwer, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2

Impact: Meerdere kwetsbaarheden in de Flash-mediahandler van QuickTime.

Beschrijving: De Flash-mediahandler van QuickTime bevat meerdere kwetsbaarheden waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code. Door deze update wordt de Flash-mediahandler in QuickTime uitgeschakeld, behalve voor een beperkt aantal bestaande QuickTime-films waarvan bekend is dat ze veilig zijn. Met dank aan Tom Ferris van het Adobe Secure Software Engineering Team (ASSET), Mike Price van McAfee Avert Labs, de beveiligingsonderzoekers Lionel d'Hauenens en Brian Mariani van Syseclabs en een anonieme onderzoeker die samenwerkt met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.