Informazioni sui contenuti di sicurezza di QuickTime 7.3

Questo documento descrive i contenuti di sicurezza di QuickTime 7.3, che può essere scaricato e installato tramite le preferenze di Aggiornamento Software o tramite Download di Apple.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l’articolo “Come usare la chiave PGP per la sicurezza dei prodotti Apple”.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.

QuickTime 7.3

QuickTime

CVE-ID: CVE-2007-2395

Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 o versioni successive, Mac OS X v10.5, Windows Vista, XP SP2

Impatto: la visualizzazione di un file video pericoloso potrebbe provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.

Descrizione: si verifica un problema di danneggiamento della memoria nella gestione degli atom di descrizione delle immagini di QuickTime. Inducendo un utente ad aprire un file video pericoloso, un utente malintenzionato può causare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema eseguendo un’ulteriore convalida delle descrizioni delle immagini di QuickTime. Ringraziamo Dylan Ashe di Adobe Systems Incorporated per aver segnalato questo problema.

QuickTime

CVE-ID: CVE-2007-3750

Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 o versioni successive, Mac OS X v10.5, Windows Vista, XP SP2

Impatto: la visualizzazione di un file video pericoloso potrebbe provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.

Descrizione: si verifica un overflow del buffer di heap nella gestione degli atom Sample Table Sample Descriptor (STSD) di QuickTime Player. Inducendo un utente ad aprire un file video pericoloso, un utente malintenzionato può causare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema eseguendo un’ulteriore convalida degli atom STSD. Ringraziamo Tobias Klein di www.trapkit.de per aver segnalato questo problema.

QuickTime

CVE-ID: CVE-2007-3751

Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 o versioni successive, Mac OS X v10.5, Windows Vista, XP SP2

Impatto: le applet Java non attendibili possono ottenere privilegi elevati.

Descrizione: esistono più vulnerabilità in QuickTime per Java, che possono consentire alle applet Java non attendibili di ottenere privilegi elevati. Inducendo un utente a visitare una pagina web contenente un’applet Java pericolosa, un utente malintenzionato può causare la divulgazione di informazioni sensibili e l’esecuzione di codice arbitrario con privilegi elevati. Questo aggiornamento risolve i problemi rendendo QuickTime per Java non più accessibile alle applet Java non attendibili. Ringraziamo Adam Gowdiak per aver segnalato questo problema.

QuickTime

CVE-ID: CVE-2007-4672

Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 o versioni successive, Mac OS X v10.5, Windows Vista, XP SP2

Impatto: la visualizzazione di un file PICT pericoloso può causare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.

Descrizione: si verifica un overflow del buffer di stack nell’elaborazione delle immagini PICT. Inducendo un utente ad aprire un’immagine pericolosa, un utente malintenzionato può causare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema eseguendo un’ulteriore convalida dei file PICT. Ringraziamo Ruben Santamarta di reversemode.com in collaborazione con TippingPoint e Zero Day Initiative per aver segnalato questo problema.

QuickTime

CVE-ID: CVE-2007-4676

Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 o versioni successive, Mac OS X v10.5, Windows Vista, XP SP2

Impatto: la visualizzazione di un file PICT pericoloso può causare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.

Descrizione: si verifica un overflow del buffer di heap nell’elaborazione delle immagini PICT. Inducendo un utente ad aprire un’immagine pericolosa, un utente malintenzionato può causare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema eseguendo un’ulteriore convalida dei file PICT. Ringraziamo Ruben Santamarta di reversemode.com in collaborazione con TippingPoint e Zero Day Initiative per aver segnalato questo problema.

QuickTime

CVE-ID: CVE-2007-4675

Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 o versioni successive, Mac OS X v10.5, Windows Vista, XP SP2

Impatto: la visualizzazione di un file video QTVR pericoloso potrebbe provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.

Descrizione: si verifica un overflow del buffer di heap nella gestione degli atom di esempi di panorami nei file video QTVR (QuickTime Virtual Reality) di QuickTime. Inducendo un utente a visualizzare un file QTVR pericoloso, un utente malintenzionato può causare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema eseguendo il controllo dei limiti sugli atom degli esempi di panorami. Ringraziamo Mario Ballano di 48bits.com in collaborazione con VeriSign iDefense VCP per aver segnalato questo problema.

QuickTime

CVE-ID: CVE-2007-4677

Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 o versioni successive, Mac OS X v10.5, Windows Vista, XP SP2

Impatto: la visualizzazione di un file video pericoloso potrebbe provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.

Descrizione: si verifica un overflow del buffer di heap nel parsing dell’atom della tabella colori all’apertura di un file video. Inducendo un utente ad aprire un file video pericoloso, un utente malintenzionato può causare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema eseguendo un’ulteriore convalida degli atom delle tabelle colori. Ringraziamo Ruben Santamarta di reversemode.com e Mario Ballano of 48bits.com in collaborazione con TippingPoint e Zero Day Initiative per aver segnalato questo problema.

QuickTime

CVE-ID: CVE-2007-4674

Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 o versioni successive, Mac OS X v10.5, Windows Vista, XP SP2

Impatto: la visualizzazione di un file video pericoloso potrebbe provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.

Descrizione: un problema aritmetico di numeri interi nella gestione da parte di QuickTime di determinati atom di file video può portare a un overflow del buffer di stack. Inducendo un utente ad aprire un file video pericoloso, un utente malintenzionato può causare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema attraverso una migliore gestione dei campi relativi alla lunghezza degli atom nei file video. Ringraziamo Cody Pierce di TippingPoint DVLabs per aver segnalato questo problema.