Informationen zum Sicherheitsinhalt von QuickTime 7.1.6

In diesem Dokument wird der Sicherheitsinhalt des QuickTime-Updates 7.1.6 das über die Einstellungen Softwareaktualisierung oder Apple-Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.“

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.

QuickTime-Update 7.1.6

QuickTime

CVE-ID: CVE-2007-2175

Verfügbar für: Mac OS X 10.3.9, Mac OS X 10.4.9, Windows XP SP2, Windows 2000 SP4

Auswirkung: Der Besuch einer schadhaften Website kann zur Ausführung willkürlichen Codes führen.

Beschreibung: In QuickTime für Java besteht ein Implementierungsproblem, das dazu führen kann, dass außerhalb der Grenzen des zugewiesenen Heapspeichers gelesen oder geschrieben wird. Indem er einen Benutzer dazu verleitet, eine Webseite mit einem in böser Absicht erstellten Java-Applet zu besuchen, kann ein Angreifer das Problem auslösen, was zur Ausführung willkürlichen Codes führen kann. Dieses Update behebt das Problem, indem beim Erstellen von QTPointerRef-Objekten eine zusätzliche Überprüfung auf Grenzen durchgeführt wird. Wir danken Dino Dai Zovi in Zusammenarbeit mit TippingPoint und der Zero Day Initiative für die Meldung dieses Problems.