Acerca do conteúdo de segurança do QuickTime 7.1.5
Resumo
Este documento descreve o conteúdo de segurança do QuickTime 7.1.5, que pode ser descarregado e instalado através das preferências da Actualização de Software ou aqui.
Para protecção dos nossos clientes, a Apple não divulga, discute ou confirma questões de segurança até ter sido efectuada uma investigação completa e estarem disponíveis quaisquer correcções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o sítio da Web Segurança dos produtos Apple.
Para obter informações sobre a Chave PGP para segurança dos produtos Apple, consulte o artigo "Como utilizar a Chave PGP para segurança dos produtos Apple."
Sempre que possível, são utilizados IDs CVE para referenciar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações acerca de Actualizações de segurança, consulte o artigo "Actualizações de segurança Apple."
Produtos afectados
QuickTime 7 (Windows), QuickTime 7 (OS X)
Actualização do QuickTime 7.1.5
-
QuickTime
ID CVE: CVE-2007-0711
Disponível para: Windows Vista/XP/2000
Impacto: Visualizar um ficheiro 3GP criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução arbitrária de código
Descrição: Existe uma ultrapassagem do limite máximo da memória em pilha na forma como o QuickTime trata os ficheiros de vídeo 3GP. Ao aliciar um utilizador a abrir uma imagem maliciosa, um atacante pode fazer com que seja excedido o limite, o que pode conduzir ao encerramento inesperado da aplicação ou a execução arbitrária de código. Esta actualização resolve o problema através da execução de uma validação adicional dos ficheiros de vídeo 3GP. Este problema não afecta o Mac OS X. Os nossos agradecimentos a JJ Reyes por comunicar este problema.
-
QuickTime
ID CVE: CVE-2007-0712
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: Visualizar um ficheiro MIDI criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução arbitrária de código
Descrição: Foi ultrapassado o limite máximo do buffer heap na forma como o QuickTime trata os ficheiros MIDI. Ao aliciar um utilizador a abrir um ficheiro MIDI malicioso, um atacante pode fazer com que seja excedido o limite, o que pode conduzir ao encerramento inesperado da aplicação ou a execução arbitrária de código. Esta actualização resolve o problema através da execução de uma validação adicional dos ficheiros MIDI. Os nossos agradecimentos a Mike Price da McAfee AVERT Labs por comunicar este problema.
-
QuickTime
ID CVE: CVE-2007-0713
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: Visualizar um filme QuickTime criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução arbitrária de código
Descrição: Foi ultrapassado o limite máximo do buffer heap na forma como o QuickTime trata os ficheiros de filmes QuickTime. Ao aliciar um utilizador a abrir um filme malicioso, um atacante pode fazer com que seja excedido o limite, o que pode conduzir ao encerramento inesperado da aplicação ou a execução arbitrária de código. Esta actualização resolve o problema ao efectuar uma validação adicional dos filmes QuickTime. Os nossos agradecimentos a Mike Price da McAfee AVERT Labs, Piotr Bania e Artur Ogloza por comunicarem este problema.
-
QuickTime
ID CVE: CVE-2007-0714
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: Visualizar um ficheiro de filme Quicktime criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução arbitrária de código
Descrição: Existe uma ultrapassagem do limite máximo da memória em pilha na forma como o QuickTime trata os átomos UDTA nos ficheiros de filme. Ao aliciar um utilizador a abrir um filme malicioso, um atacante pode fazer com que seja excedido o limite, o que pode conduzir ao encerramento inesperado da aplicação ou a execução arbitrária de código. Esta actualização resolve o problema ao efectuar uma validação adicional dos filmes QuickTime. Os nossos agradecimentos a Sowhat da Nevis Labs, e a um investigador anónimo a trabalhar para a TippingPoint e a Zero Day Initiative por comunicarem o problema.
-
QuickTime
ID CVE: CVE-2007-0715
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: Visualizar um ficheiro PICT malicioso pode conduzir ao encerramento inesperado da aplicação ou a execução arbitrária de código
Descrição: Foi ultrapassado o limite máximo do buffer heap na forma como o QuickTime trata os ficheiros PICT. Ao aliciar um utilizador a abrir um ficheiro de imagem PICT malicioso, um atacante pode fazer com que seja excedido o limite, o que pode conduzir ao encerramento inesperado da aplicação ou a execução arbitrária de código. Esta actualização resolve o problema ao efectuar uma validação adicional dos ficheiros PICT. Os nossos agradecimentos a Mike Price da McAfee AVERT Labs por comunicar este problema.
-
QuickTime
ID CVE: CVE-2007-0716
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: Abrir um ficheiro QTIF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução arbitrária de código
Descrição: Foi ultrapassado o limite máximo do buffer da pilha na forma como o QuickTime trata os ficheiros QTIF. Ao aliciar um utilizador a abrir um ficheiro QTIF malicioso, um atacante pode fazer com que seja excedido o limite, o que pode conduzir ao encerramento inesperado da aplicação ou a execução arbitrária de código. Esta actualização corrige o problema através da execução de uma validação adicional de ficheiros QTIF. Os nossos agradecimentos a Mike Price da McAfee AVERT Labs por comunicar este problema.
-
QuickTime
ID CVE: CVE-2007-0717
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: Abrir um ficheiro QTIF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução arbitrária de código
Descrição: Existe uma ultrapassagem do limite máximo da memória em pilha na forma como o QuickTime trata os ficheiros QTIF. Ao aliciar um utilizador a aceder a um ficheiro QTIF malicioso, um atacante pode fazer com que seja excedido o limite, o que pode conduzir ao encerramento inesperado da aplicação ou a execução arbitrária de código. Esta actualização corrige o problema através da execução de uma validação adicional de ficheiros QTIF. Os nossos agradecimentos a Mike Price da McAfee AVERT Labs por comunicar este problema.
-
QuickTime
ID CVE: CVE-2007-0718
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: Abrir um ficheiro QTIF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução arbitrária de código
Descrição: Foi ultrapassado o limite máximo do buffer heap na forma como o QuickTime trata os ficheiros QTIF. Ao aliciar um utilizador a aceder a um ficheiro QTIF malicioso, um atacante pode fazer com que seja excedido o limite, o que pode conduzir ao encerramento inesperado da aplicação ou a execução arbitrária de código. Esta actualização corrige o problema através da execução de uma validação adicional de ficheiros QTIF. Os nossos agradecimentos a Ruben Santamarta, colaborador do iDefense VulnerabilityContributor Program, e a JJ Reyes, por comunicarem o problema.
-
QuickTime
ID CVE: CVE-2006-4965, CVE-2007-0059
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: Visualizar um ficheiro de filme QuickTime ou um ficheiro QTL criados com intuito malicioso poderá conduzir a execução arbitrária de código JavaScript no contexto do domínio local
Descrição: Existe um problema de scripting em zonas cruzadas no plugin do browser do QuickTime. Ao aliciar um utilizador a abrir um ficheiro de filme QuickTime ou um ficheiro QTL criados com intuito malicioso, um atacante pode despoletar o problema, o que poderá conduzir a execução arbitrária de código JavaScript no contexto do domínio local. Este problema foi descrito no site Web "Month of Apple Bugs" (MOAB-01-03-2007). Esta actualização soluciona o problema efectuando as seguintes alterações ao tratamento de URLs no atributo qtnext dos ficheiros QTL, e HREF Tracks nos filmes QuickTime. Só "http:" e "https:" Os URLs são permitidos se o filme for carregado a partir de um site remoto. Só "ficheiro:" Os URLs são permitidos se o filme for carregado localmente.
O QuickTime 7.1.5 para Mac ou Windows pode ser obtido a partir de Actualização de Software ou como descarregamento manual de: http://www.apple.com/quicktime/download/.