Om sikkerhetsinnholdet i QuickTime 7.1.5

Dette dokumentet beskriver sikkerhetsinnholdet i QuickTime 7.1.5.

Dette dokumentet beskriver sikkerhetsinnholdet til QuickTime 7.1.5, som kan lastes ned og installeres fra Programvareoppdatering, eller her.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Mer informasjon finnes her: Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.»

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple sikkerhetsoppdateringer.

QuickTime-oppdatering 7.1.5

QuickTime

CVE-ID: CVE-2007-0711

Tilgjengelig for Windows Vista/XP/2000

Virkning: Dersom du åpner en skadelig 3GP-fil, kan det føre til programstopp eller utilsiktet kodekjøring.

Beskrivelse: Det finnes en heltallsoverskridelse i QuickTimes håndtering av 3GP-videofiler. Ved å lure en bruker til å åpne en skadet film, kan en angriper utløse overflyten, noe som kan føre til programstopp eller utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ytterligere validering av 3GP-videofiler. Dette problemet påvirker ikke Mac OS X. Takk til JJ Reyes for å ha rapportert dette problemet.

QuickTime

CVE-ID: CVE-2007-0712

Tilgjengelig for Mac OS X 10.3.9 og nyere, Windows Vista/XP/2000

Virkning: Hvis man åpner en skadelig utformet MIDI-fil, kan det føre til programstopp eller utilsiktet kodekjøring.

Beskrivelse: Det finnes en bufferoverflyt i QuickTimes håndtering av MIDI-filer. Ved å lure en bruker til å åpne en skadelig MIDI-fil, kan en angriper utløse en overflyt som kan føre til programstopp eller utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ytterligere validering av MIDI-filer. Takk til Mike Price hos McAfee AVERT Labs for å ha rapportert dette problemet.

QuickTime

CVE-ID: CVE-2007-0713

Tilgjengelig for Mac OS X 10.3.9 og nyere, Windows Vista/XP/2000

Virkning: Avspilling av en skadelig utformet QuickTime-filmfil kan føre til programstopp eller utilsiktet kodekjøring.

Beskrivelse: Det finnes en heap-bufferoverflyt i QuickTimes håndtering av QuickTime-filmfiler. Ved å lure en bruker til å åpne en skadelig film kan en angriper utløse overflyten, noe som kan føre til programstopp eller utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ytterligere validering av QuickTime-filmer. Takk til Mike Price hos McAfee AVERT Labs, Piotr Bania og Artur Ogloza for å ha rapportert dette problemet.

QuickTime

CVE-ID: CVE-2007-0714

Tilgjengelig for Mac OS X 10.3.9 og nyere, Windows Vista/XP/2000

Virkning: Avspilling av en skadelig utformet QuickTime-filmfil kan føre til programstopp eller utilsiktet kodekjøring.

Beskrivelse: Det finnes en heltallsoverskridelse i QuickTimes håndtering av UDTA-atomer i filmfiler. Ved å lure en bruker til å åpne en skadelig film kan en angriper utløse overflyten, noe som kan føre til programstopp eller utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ytterligere validering av QuickTime-filmer. Takk til Sowhat hos Nevis Labs, og en anonym forsker som jobber med TippingPoint og Zero Day Initiative for å ha rapportert dette problemet.

QuickTime

CVE-ID: CVE-2007-0715

Tilgjengelig for Mac OS X 10.3.9 og nyere, Windows Vista/XP/2000

Virkning: Hvis man åpner en skadelig utformet PICT-fil, kan det føre til programstopp eller utilsiktet kodekjøring.

Beskrivelse: Det finnes en bufferoverflyt i QuickTimes håndtering av PICT-filer. Ved å lure en bruker til å åpne en skadelig PICT-fil kan en angriper utløse en overflyt som kan føre til utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ytterligere validering av PICT-filer. Takk til Mike Price hos McAfee AVERT Labs for å ha rapportert dette problemet.

QuickTime

CVE-ID: CVE-2007-0716

Tilgjengelig for Mac OS X 10.3.9 og nyere, Windows Vista/XP/2000

Virkning: Åpning av en skadelig utformet QTIF-fil kan føre til programstopp eller utilsiktet kodekjøring.

Beskrivelse: Det finnes en stack-bufferoverflyt i QuickTimes håndtering av QTIF-filer. Ved å lure en bruker til å åpne en skadelig utformet QTIF-fil kan en angriper utløse overflyten, noe som kan føre til programstopp eller utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ytterligere validering av QTIF-filer. Takk til Mike Price hos McAfee AVERT Labs for å ha rapportert dette problemet.

QuickTime

CVE-ID: CVE-2007-0717

Tilgjengelig for Mac OS X 10.3.9 og nyere, Windows Vista/XP/2000

Virkning: Åpning av en skadelig utformet QTIF-fil kan føre til programstopp eller utilsiktet kodekjøring.

Beskrivelse: Det finnes en heltallsoverskridelse i QuickTimes håndtering av QTIF-filer. Ved å lure en bruker til å åpne en skadelig utformet QTIF-fil kan en angriper utløse overflyten, noe som kan føre til programstopp eller utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ytterligere validering av QTIF-filer. Takk til Mike Price hos McAfee AVERT Labs for å ha rapportert dette problemet.

QuickTime

CVE-ID: CVE-2007-0718

Tilgjengelig for Mac OS X 10.3.9 og nyere, Windows Vista/XP/2000

Virkning: Åpning av en skadelig utformet QTIF-fil kan føre til programstopp eller utilsiktet kodekjøring.

Beskrivelse: Det finnes en bufferoverflyt i QuickTimes håndtering av QTIF-filer. Ved å lure en bruker til å åpne en skadelig utformet QTIF-fil kan en angriper utløse overflyten, noe som kan føre til programstopp eller utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ytterligere validering av QTIF-filer. Takk til Ruben Santamarta som jobber med iDefense Vulnerability Contributor Program, og JJ Reyes for å ha rapportert dette problemet.

QuickTime

CVE-ID: CVE-2006-4965, CVE-2007-0059

Tilgjengelig for Mac OS X 10.3.9 og nyere, Windows Vista/XP/2000

Virkning: Avspilling av en skadelig QuickTime-filmfil eller QTL-fil kan føre til utilsiktet kjøring av JavaScript-kode i sammenheng med det lokale domenet.

Beskrivelse: Det finnes et problem med skripting på tvers av soner i QuickTimes nettleserprogramtillegg. Ved å lure en bruker til å åpne en skadelig QuickTime-filmfil eller QTL-fil kan en angriper utløse problemet, noe som kan føre til utilsiktet kjøring av JavaScript-kode i sammenheng med det lokale domenet. Dette problemet er beskrevet på nettstedet Month of Apple Bugs (MOAB-03-01-2007). Denne oppdateringen løser problemet ved å gjøre følgende endringer i håndteringen av nettadresser i qtnext-attributtet i QTL-filer og HREFTracks i QuickTime-filmer. Bare http:- og https:-nettadresser er tillatt hvis filmen lastes inn fra et eksternt nettsted. Bare file:-nettadresser er tillatt hvis filmen er lastet inn lokalt.

QuickTime 7.1.5 for Mac eller Windows kan hentes fra Programvareoppdatering eller som en manuell nedlasting fra: http://www.apple.com/quicktime/download/.