Informacje o związanej z zabezpieczeniami zawartości oprogramowania QuickTime 7.1.5

Uaktualnienie QuickTime 7.1.5

• QuickTime

  Identyfikator CVE: CVE-2007-0711

  Dostępne dla systemów: Windows Vista, Windows XP, Windows 2000

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku 3GP może spowodować błąd aplikacji lub wykonanie dowolnego kodu

  Opis: w procedurach obsługi plików wideo 3GP programu QuickTime istnieje błąd przekroczenia zakresu liczb całkowitych. Zachęcając użytkownika do otwarcia złośliwie spreparowanego pliku wideo, osoba atakująca może wywołać przepełnienie powodujące błąd aplikacji lub wykonanie dowolnego kodu. Uaktualnienie usuwa ten problem przez wprowadzenie dodatkowej procedury sprawdzania plików wideo 3GP. Problem ten nie występuje na komputerach z systemem Mac OS X. Podziękowania za zgłoszenie tego problemu dla JJ Reyesa.

• QuickTime

  Identyfikator CVE: CVE-2007-0712

  Dostępne dla systemów: Mac OS X 10.3.9 lub nowszy, Windows Vista, Windows XP, Windows 2000

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku MIDI może spowodować błąd aplikacji lub wykonanie dowolnego kodu

  Opis: w procedurach obsługi plików MIDI programu QuickTime istnieje błąd powodujący przepełnienie buforu sterty. Zachęcając użytkownika do otwarcia złośliwie spreparowanego pliku MIDI, osoba atakująca może wywołać przepełnienie powodujące błąd aplikacji lub wykonanie dowolnego kodu. Uaktualnienie usuwa ten problem przez wprowadzenie dodatkowej procedury sprawdzania plików MIDI. Podziękowania za zgłoszenie tego problemu dla Mike'a Price'a z McAfee Avert Labs.

• QuickTime

  Identyfikator CVE: CVE-2007-0713

  Dostępne dla systemów: Mac OS X 10.3.9 lub nowszy, Windows Vista, Windows XP, Windows 2000

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo w formacie QuickTime może spowodować błąd aplikacji lub wykonanie dowolnego kodu

  Opis: w procedurach obsługi filmów QuickTime przez program QuickTime istnieje błąd powodujący przepełnienie buforu sterty. Zachęcając użytkownika do użycia złośliwie spreparowanego pliku wideo, osoba atakująca może wywołać przepełnienie mogące prowadzić do błędu aplikacji lub wykonania dowolnego kodu. Uaktualnienie usuwa ten problem przez wprowadzenie dodatkowej procedury sprawdzania filmów w formacie QuickTime. Podziękowania za zgłoszenie tego problemu dla Mike'a Price'a z McAfee Avert Labs, Piotra Bani oraz Artura Oglozy.

• QuickTime

  Identyfikator CVE: CVE-2007-0714

  Dostępne dla systemów: Mac OS X 10.3.9 lub nowszy, Windows Vista, Windows XP, Windows 2000

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo w formacie QuickTime może spowodować błąd aplikacji lub wykonanie dowolnego kodu

  Opis: w procedurach obsługi atomów UDTA w plikach wideo istnieje błąd przekroczenia zakresu liczb całkowitych. Zachęcając użytkownika do użycia złośliwie spreparowanego pliku wideo, osoba atakująca może wywołać przepełnienie mogące prowadzić do błędu aplikacji lub wykonania dowolnego kodu. Uaktualnienie usuwa ten problem przez wprowadzenie dodatkowej procedury sprawdzania filmów w formacie QuickTime. Podziękowania za zgłoszenie tego problemu dla użytkownika Sowhat z Nevis Labs oraz dla anonimowego badacza współpracującego z TippingPoint i Zero Day Initiative.

• QuickTime

  Identyfikator CVE: CVE-2007-0715

  Dostępne dla systemów: Mac OS X 10.3.9 lub nowszy, Windows Vista, Windows XP, Windows 2000

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PICT może spowodować błąd aplikacji lub wykonanie dowolnego kodu

  Opis: w procedurach obsługi plików PICT programu QuickTime istnieje błąd powodujący przepełnienie buforu sterty. Zachęcając użytkownika do otwarcia złośliwie spreparowanego obrazu w formacie PICT, osoba atakująca może wywołać przepełnienie prowadzące do wykonania dowolnego kodu. Uaktualnienie usuwa ten problem przez wprowadzenie dodatkowej procedury sprawdzania plików PICT. Podziękowania za zgłoszenie tego problemu dla Mike'a Price'a z McAfee Avert Labs.

• QuickTime

  Identyfikator CVE: CVE-2007-0716

  Dostępne dla systemów: Mac OS X 10.3.9 lub nowszy, Windows Vista, Windows XP, Windows 2000

  Zagrożenie: otwarcie złośliwie spreparowanego pliku QTIF może spowodować błąd aplikacji lub wykonanie dowolnego kodu

  Opis: w procedurach obsługi plików QTIF programu QuickTime istnieje błąd powodujący przepełnienie buforu stosu. Zachęcając użytkownika do użycia złośliwie spreparowanego pliku QTIF, osoba atakująca może wywołać przepełnienie prowadzące do błędu aplikacji lub wykonania dowolnego kodu. Uaktualnienie usuwa ten problem przez wprowadzenie dodatkowej procedury sprawdzania plików QTIF. Podziękowania za zgłoszenie tego problemu dla Mike'a Price'a z McAfee Avert Labs.

• QuickTime

  Identyfikator CVE: CVE-2007-0717

  Dostępne dla systemów: Mac OS X 10.3.9 lub nowszy, Windows Vista, Windows XP, Windows 2000

  Zagrożenie: otwarcie złośliwie spreparowanego pliku QTIF może spowodować błąd aplikacji lub wykonanie dowolnego kodu

  Opis: w procedurach obsługi plików QTIF programu QuickTime istnieje błąd przekroczenia zakresu liczb całkowitych. Zachęcając użytkownika do użycia złośliwie spreparowanego pliku QTIF, osoba atakująca może wywołać przepełnienie prowadzące do błędu aplikacji lub wykonania dowolnego kodu. Uaktualnienie usuwa ten problem przez wprowadzenie dodatkowej procedury sprawdzania plików QTIF. Podziękowania za zgłoszenie tego problemu dla Mike'a Price'a z McAfee Avert Labs.

• QuickTime

  Identyfikator CVE: CVE-2007-0718

  Dostępne dla systemów: Mac OS X 10.3.9 lub nowszy, Windows Vista, Windows XP, Windows 2000

  Zagrożenie: otwarcie złośliwie spreparowanego pliku QTIF może spowodować błąd aplikacji lub wykonanie dowolnego kodu

  Opis: w procedurach obsługi plików QTIF programu QuickTime istnieje błąd powodujący przepełnienie buforu sterty. Zachęcając użytkownika do użycia złośliwie spreparowanego pliku QTIF, osoba atakująca może wywołać przepełnienie prowadzące do błędu aplikacji lub wykonania dowolnego kodu. Uaktualnienie usuwa ten problem przez wprowadzenie dodatkowej procedury sprawdzania plików QTIF. Podziękowania za zgłoszenie tego problemu dla Rubena Santamarta, współpracującego z iDefense VulnerabilityContributor Program, oraz dla JJ Reyesa.

• QuickTime

  Identyfikator CVE: CVE-2006-4965, CVE-2007-0059

  Dostępne dla systemów: Mac OS X 10.3.9 lub nowszy, Windows Vista, Windows XP, Windows 2000

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo w formacie QuickTime lub pliku QTL może spowodować wykonanie dowolnego kodu JavaScript w kontekście domeny lokalnej

  Opis: w rozszerzeniu QuickTime dla przeglądarki istnieje usterka pozwalająca przeprowadzać ataki typu cross-zone scripting. Zachęcając użytkownika do otwarcia złośliwie spreparowanego pliku wideo w formacie QuickTime lub pliku QTL, osoba atakująca może wywołać błąd mogący spowodować wykonanie dowolnego kodu JavaScript w kontekście domeny lokalnej. Problem został opisany w witrynie internetowej Month of Apple Bugs (MOAB-03-01-2007). Uaktualnienie usuwa ten problem przez wprowadzenie następujących zmian w obsłudze adresów URL w atrybucie qtnext plików QTL oraz HREFTracks w plikach wideo w formacie QuickTime. Jeśli film ładowany jest z witryny zdalnej, dozwolone są tylko adresy URL rozpoczynające się od „http:” oraz „https:”. Jeśli film ładowany jest lokalnie, dozwolone są tylko adresy URL rozpoczynające się od „file:”.

Program QuickTime w wersji 7.1.5 dla komputera Mac lub systemu Windows można pobrać z witryny uaktualnień oprogramowania lub ręcznie z witryny: http://www.apple.com/pl/quicktime/download/.