Проблемы безопасности, устраняемые обновлением QuickTime 7.3

В этом документе описаны проблемы безопасности, устраняемые обновлением QuickTime 7.3, которое можно загрузить и установить через настройки раздела Обновление ПО или со страницы «Загрузки» на сайте Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает их и не участвует в их обсуждении до тех пор, пока не будет проведено полное расследование и не станут доступны необходимые исправления или выпуски программного обеспечения. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Выпуски безопасности Apple.

QuickTime 7.3

QuickTime

Идентификатор CVE: CVE-2007-2395

Доступно для Mac OS X версии 10.3.9, Mac OS X 10.4.9 и более поздних версий, Mac OS X версии 10.5, Windows Vista, XP SP2

Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. При обработке атомов описания изображений в QuickTime возникает проблема повреждения памяти. Обманом заставив пользователя открыть вредоносный видеофайл, злоумышленник может вызвать неожиданное завершение работы приложения или выполнение произвольного кода. Данное обновление решает проблему путем дополнительной проверки описания изображений QuickTime. Выражаем благодарность Дилану Эше (Dylan Ashe) из Adobe Systems Incorporated за сообщение об этой проблеме.

QuickTime

Идентификатор CVE: CVE-2007-3750

Доступно для Mac OS X версии 10.3.9, Mac OS X 10.4.9 и более поздних версий, Mac OS X версии 10.5, Windows Vista, XP SP2

Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. При обработке атомов Sample Table Sample Descriptor (STSD) в QuickTime Player возникает переполнение буфера кучи. Обманом заставив пользователя открыть вредоносный видеофайл, злоумышленник может вызвать неожиданное завершение работы приложения или выполнение произвольного кода. Данное обновление решает проблему путем дополнительной проверки атомов STSD. Выражаем благодарность Тобайасу Кляйну (Tobias Klein) из www.trapkit.de за сообщение об этой проблеме.

QuickTime

Идентификатор CVE: CVE-2007-3751

Доступно для Mac OS X версии 10.3.9, Mac OS X 10.4.9 и более поздних версий, Mac OS X версии 10.5, Windows Vista, XP SP2

Воздействие. Ненадежные Java-апплеты могут получать повышенные привилегии.

Описание. В QuickTime for Java существует ряд уязвимостей, позволяющих ненадежным Java-апплетам получать повышенные привилегии. Обманом заставив пользователя посетить веб-страницу, содержащую вредоносный Java-апплет, злоумышленник может раскрыть конфиденциальную информацию и вызвать выполнение произвольного кода с повышенными привилегиями. Данное обновление устраняет эти проблемы, делая библиотеку QuickTime for Java недоступной для ненадежных Java-апплетов. Выражаем благодарность Крису Эвансу (Chris Evans) за сообщение об этой проблеме.

QuickTime

Идентификатор CVE: CVE-2007-4672

Доступно для Mac OS X версии 10.3.9, Mac OS X 10.4.9 и более поздних версий, Mac OS X версии 10.5, Windows Vista, XP SP2

Воздействие. Открытие вредоносного изображения в формате PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. При обработке изображений PICT возникает переполнение буфера стека. Обманом заставив пользователя открыть вредоносное изображение, злоумышленник может вызвать неожиданное завершение работы приложения или выполнение произвольного кода. Данное обновление решает проблему путем дополнительной проверки PICT-файлов. Выражаем благодарность Рубену Сантамарте (Ruben Santamarta) из reversemode.com, который совместно с TippingPoint и Zero Day Initiative сообщил об этой проблеме.

QuickTime

Идентификатор CVE: CVE-2007-4676

Доступно для Mac OS X версии 10.3.9, Mac OS X 10.4.9 и более поздних версий, Mac OS X версии 10.5, Windows Vista, XP SP2

Воздействие. Открытие вредоносного изображения в формате PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. При обработке изображений PICT возникает переполнение буфера кучи. Обманом заставив пользователя открыть вредоносное изображение, злоумышленник может вызвать неожиданное завершение работы приложения или выполнение произвольного кода. Данное обновление решает проблему путем дополнительной проверки PICT-файлов. Выражаем благодарность Рубену Сантамарте (Ruben Santamarta) из reversemode.com, который совместно с TippingPoint и Zero Day Initiative сообщил об этой проблеме.

QuickTime

Идентификатор CVE: CVE-2007-4675

Доступно для Mac OS X версии 10.3.9, Mac OS X 10.4.9 и более поздних версий, Mac OS X версии 10.5, Windows Vista, XP SP2

Воздействие. Просмотр вредоносного видеофайла QTVR может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. При обработке атомов образцов панорамы из видеофайлов QTVR (QuickTime Virtual Reality) в QuickTime возникает переполнение буфера кучи. Обманом заставив пользователя просмотреть вредоносный файл QTVR, злоумышленник может вызвать неожиданное завершение работы приложения или выполнение произвольного кода. Данное обновление решает проблему путем проверки границ в атомах образцов панорамы. Выражаем благодарность Марио Баллано (Mario Ballano) из 48bits.com, который совместно с VeriSign iDefense VCP сообщил об этой проблеме.

QuickTime

Идентификатор CVE: CVE-2007-4677

Доступно для Mac OS X версии 10.3.9, Mac OS X 10.4.9 и более поздних версий, Mac OS X версии 10.5, Windows Vista, XP SP2

Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. В ходе анализа атома цветовой таблицы при открытии видеофайла возникает переполнение буфера кучи. Обманом заставив пользователя открыть вредоносный видеофайл, злоумышленник может вызвать неожиданное завершение работы приложения или выполнение произвольного кода. Данное обновление решает проблему путем дополнительной проверки атомов цветовой таблицы. Выражаем благодарность Рубену Сантамарте (Ruben Santamarta) из reversemode.com и Марио Баллано (Mario Ballano) из 48bits.com, которые совместно с TippingPoint и Zero Day Initiative сообщили об этой проблеме.

QuickTime

Идентификатор CVE: CVE-2007-4674

Доступно для Mac OS X версии 10.3.9, Mac OS X 10.4.9 и более поздних версий, Mac OS X версии 10.5, Windows Vista, XP SP2

Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. При обработке некоторых атомов видеофайла в QuickTime возникает проблема целочисленной арифметики, способная привести к переполнению буфера стека. Обманом заставив пользователя открыть вредоносный видеофайл, злоумышленник может вызвать неожиданное завершение работы приложения или выполнение произвольного кода. Данное обновление решает проблему за счет улучшенной обработки полей длины атомов в видеофайлах. Выражаем благодарность Коди Пирсу (Cody Pierce) из TippingPoint DVLabs за сообщение об этой проблеме.

Важно! Информация об изделиях сторонних производителей предоставляется компанией Apple исключительно в ознакомительных целях и не носит рекомендательного или рекламного характера. Для получения дополнительной информации обратитесь к поставщику.

Дата публикации: