Informazioni sul contenuto della sicurezza di QuickTime 7.5
Riepilogo
Questo documento descrive il contenuto di sicurezza di QuickTime 7.5, che può essere scaricato e installato tramite le preferenze di Aggiornamento software o da Apple Downloads.
Per proteggere i propri clienti, Apple non divulga, discute o conferma alcun problema relativo alla sicurezza finché non è stata eseguita un'indagine approfondita e non sono disponibili le necessarie correzioni o aggiornamenti della versione. Per ulteriori informazioni sulla sicurezza dei prodotti Apple, accedere al sito web Apple Product Security (Aggiornamenti di sicurezza Apple).
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, vedere "How to use the Apple Product Security PGP Key" (Come utilizzare la chiave PGP per la sicurezza dei prodotti Apple).
Ove possibile, vengono usati gli ID CVE per ulteriori informazioni relative alle vulnerabilità.
Per conoscere gli altri aggiornamenti relativi alla sicurezza, vedere "Apple Security Updates" (Aggiornamenti di sicurezza Apple).
Prodotti interessati
QuickTime, Sicurezza dei prodotti
QuickTime 7.5
- QuickTime
CVE-ID: CVE-2008-1581
Disponibile per: Windows Vista, XP SP2
Impatto: l'apertura di un'immagine PICT pericolosa può causare la chiusura inattesa dell'applicazione o l'esecuzione arbitraria di codice
Descrizione: un problema nella gestione delle strutture PixData durante l'elaborazione di un'immagine PICT da parte di QuickTime potrebbe causare un overflow nel buffer dello heap. L'apertura di un'immagine PICT pericolosa può causare la chiusura inattesa dell'applicazione o l'esecuzione arbitraria di codice. Questo aggiornamento risolve il problema attraverso un migliore controllo dei limiti. Questo problema non influisce sui sistemi che eseguono Mac OS X. Si ringrazia Dyon Balding di Secunia Research per aver segnalato il problema.
- QuickTime
CVE-ID: CVE-2008-1582
Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o successiva, Windows Vista, XP SP2
Impatto: L'apertura del contenuto di un supporto pericoloso codificato con AAC può provocare la chiusura inattesa dell'applicazione o l'esecuzione arbitraria di codice
Descrizione: esiste un problema di corruzione della memoria nella gestione dei contenuti dei supporti codificati con AAC da parte di QuickTime. L'apertura di un file di un supporto pericoloso può causare la chiusura inattesa dell'applicazione o l'esecuzione arbitraria di codice Questo aggiornamento risolve il problema grazie all'esecuzione di un'ulteriore convalida dei file dei supporti. Si ringraziano Dave Soldera di NGS Software e Jens Alfke per aver segnalato il problema.
- QuickTime
CVE-ID: CVE-2008-1583
Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o successiva, Windows Vista, XP SP2
Impatto: l'apertura di un'immagine PICT pericolosa può causare la chiusura inattesa dell'applicazione o l'esecuzione arbitraria di codice
Descrizione: Esiste un buffer overflow dello heap nella gestione delle immagini PICT da parte di QuickTime. L'apertura di un'immagine PICT pericolosa può provocare la chiusura inattesa dell'applicazione o l'esecuzione arbitraria di codice. Questo aggiornamento risolve il problema attraverso un migliore controllo dei limiti. Si ringrazia Liam O Murchu di Symantec per aver segnalato il problema.
- QuickTime
CVE-ID: CVE-2008-1584
Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o successiva, Windows Vista, XP SP2
Impatto: Visualizzando un contenuto video Indeo creato per scopi illeciti si potrebbe incorrere nella chiusura imprevista dell'applicazione o in un'esecuzione arbitraria di codice
Descrizione: un problema nella gestione del contenuto con codec video Indeo da parte di QuickTime potrebbe causare un overflow nel buffer dello stack. La visione di un filmato pericoloso con codec video Indeo può provocare la chiusura inattesa dell'applicazione o l'esecuzione arbitraria di codice. Questo aggiornamento risolve il problema evitando il rendering del contenuto video con codec Indeo. Si ringrazia un ricercatore anonimo, collaboratore della Zero Day Initiative di TippingPoint per aver riferito questo problema.
- QuickTime
CVE-ID: CVE-2008-1585
Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o successiva, Windows Vista, XP SP2
Impatto: la riproduzione di contenuto QuickTime pericoloso in QuickTime Player può condurre a un'esecuzione arbitraria di codice
Descrizione: Esiste un problema di gestione degli URL nella gestione degli URL dei file da parte di QuickTime. Questo può attivare l'avvio arbitrario di applicazioni e file quando un utente riproduce un contenuto QuickTime pericoloso in QuickTime Player. Questo aggiornamento risolve il problema rivelando i file in Finder o in Windows Explorer invece di avviarli. Si ringraziano Vinoo Thomas e Rahul Mohandas di McAfee Avert Labs, oltre a Petko D. (pdp) Petkov di GNUCITIZEN, collaboratore della Zero Day Initiative di TippingPoint per aver riferito questo problema.