Om sikkerhetsinnholdet i QuickTime 7.7.7

Dette dokumentet beskriver sikkerhetsinnholdet til QuickTime 7.3, som kan lastes ned og installeres via Programvareoppdatering, eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Mer informasjon finnes her: Apple-produktsikkerhet.

Mer informasjon finnes her: Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple-sikkerhetsoppdateringer.

QuickTime 7.3

QuickTime

CVE-ID: CVE-2007-2395

Tilgjengelig for Mac OS X 10.3.9, Mac OS X 10.4.9 eller nyere, Mac OS X 10.5, Windows Vista, XP SP2

Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av en app eller utilsiktet kodekjøring.

Beskrivelse: Det er et problem med minnekorrupsjon i QuickTimes håndtering av bildebeskrivelsesatomer. Ved å lure en bruker til å åpne en skadelig filmfil, kan en angriper forårsake uventet avslutning av en app eller utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ytterligere validering av QuickTime-bildebeskrivelser. Takk til Dylan Ashe hos Adobe Systems Incorporated for rapportering av dette problemet.

QuickTime

CVE-ID: CVE-2007-3750

Tilgjengelig for Mac OS X 10.3.9, Mac OS X 10.4.9 eller nyere, Mac OS X 10.5, Windows Vista, XP SP2

Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av en app eller utilsiktet kodekjøring.

Beskrivelse: Det finnes et heap-bufferoverløp i QuickTime Players håndtering av Sample Table Sample Descriptor (STSD)-atomer. Ved å lure en bruker til å åpne en skadelig filmfil, kan en angriper forårsake uventet avslutning av en app eller utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ytterligere validering av STSD-atomer. Takk til Tobias Klein hos www.trapkit.de for rapportering av dette problemet.

QuickTime

CVE-ID: CVE-2007-3751

Tilgjengelig for Mac OS X 10.3.9, Mac OS X 10.4.9 eller nyere, Mac OS X 10.5, Windows Vista, XP SP2

Virkning: Uklarerte Java-appleter kan få forhøyede rettigheter.

Beskrivelse: Det finnes flere sårbarheter i QuickTime for Java, som kan tillate uklarerte Java-appleter å få forhøyede rettigheter. Ved å lure en bruker til å besøke en nettside som inneholder en skadelig Java-applet, kan en angriper forårsake avsløring av sensitiv informasjon og utilsiktet kodekjøring med forhøyede rettigheter. Denne oppdateringen løser problemene ved å gjøre QuickTime for Java utilgjengelig for uklarerte Java-appleter. Takk til Adam Gowdiak for rapportering av dette problemet.

QuickTime

CVE-ID: CVE-2007-4672

Tilgjengelig for Mac OS X 10.3.9, Mac OS X 10.4.9 eller nyere, Mac OS X 10.5, Windows Vista, XP SP2

Virkning: Åpning av et skadelig PICT-bilde kan føre til uventet avslutning av en app eller utilsiktet kodekjøring.

Beskrivelse: Det finnes et stabelbufferoverløp i PICT-bildebehandling. Ved å lure en bruker til å åpne et skadelig bilde, kan en angriper forårsake en uventet avslutning av en app eller utilsiktet kodekjøring. Oppdateringen løser problemet ved å utføre ytterligere validering av PICT-filer. Takk til Ruben Santamarta hos reversemode.com som, jobber med TippingPoint og Zero Day Initiative, for rapportering av problemet.

QuickTime

CVE-ID: CVE-2007-4676

Tilgjengelig for Mac OS X 10.3.9, Mac OS X 10.4.9 eller nyere, Mac OS X 10.5, Windows Vista, XP SP2

Virkning: Åpning av et skadelig PICT-bilde kan føre til uventet avslutning av en app eller utilsiktet kodekjøring.

Beskrivelse: Det finnes et heap-bufferoverløp i PICT-bildebehandling. Ved å lure en bruker til å åpne et skadelig bilde, kan en angriper forårsake en uventet avslutning av en app eller utilsiktet kodekjøring. Oppdateringen løser problemet ved å utføre ytterligere validering av PICT-filer. Takk til Ruben Santamarta hos reversemode.com som, jobber med TippingPoint og Zero Day Initiative, for rapportering av problemet.

QuickTime

CVE-ID: CVE-2007-4675

Tilgjengelig for Mac OS X 10.3.9, Mac OS X 10.4.9 eller nyere, Mac OS X 10.5, Windows Vista, XP SP2

Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av en app eller utilsiktet kodekjøring.

Beskrivelse: Det finnes et heap-bufferoverløp i QuickTimes håndtering av panoramaprøveatomer i QTVR-filmfiler (QuickTime Virtual Reality). Ved å lure en bruker til å se på en skadelig QTVR-fil, kan en angriper forårsake uventet avslutning av en app eller utilsiktet kodekjøring. Oppdateringen løser problemet ved å utføre avgrensningskontroll på panoramaprøveatomer. Takk til Mario Ballano hos 48bits.com, som jobber med VeriSign iDefense VCP, for rapportering av dette problemet.

QuickTime

CVE-ID: CVE-2007-4677

Tilgjengelig for Mac OS X 10.3.9, Mac OS X 10.4.9 eller nyere, Mac OS X 10.5, Windows Vista, XP SP2

Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av en app eller utilsiktet kodekjøring.

Beskrivelse: Det finnes et heap-bufferoverløp i analysen av fargetabellatomet når en filmfil åpnes. Ved å lure en bruker til å åpne en skadelig filmfil, kan en angriper forårsake uventet avslutning av en app eller utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ytterligere validering av fargetabellatomer. Takk til Ruben Santamarta hos reversemode.com og Mario Ballano hos 48bits.com, som jobber med TippingPoint og Zero Day Initiative, for å rapportere problemet.

QuickTime

CVE-ID: CVE-2007-4674

Tilgjengelig for Mac OS X 10.3.9, Mac OS X 10.4.9 eller nyere, Mac OS X 10.5, Windows Vista, XP SP2

Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av en app eller utilsiktet kodekjøring.

Beskrivelse: Et heltalls aritmetisk problem i QuickTimes håndtering av visse filmfilatomer kan føre til stabelbufferoverløp. Ved å lure en bruker til å åpne en skadelig filmfil, kan en angriper forårsake uventet avslutning av en app eller utilsiktet kodekjøring. Oppdateringen løser problemet gjennom forbedret håndtering av atomlengdefelter i filmfiler. Takk til Cody Pierce hos TippingPoint DVLabs for rapportering av problemet.